• "伪中国移动client"--伪基站诈骗


    一、简单介绍:

     

    近日,百度安全实验室发现一款“伪中国移动client”病毒。犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银password、下载安装“伪中国移动client”病毒;该病毒会在后台监控用户短信内容。获取网银验证码。 黑客通过以上方式获取网银账号、网银password和网银短信验证码后,完毕窃取网银资金。

     

    伪基站发送的伪10086短信

     

    图1. 伪10086短信

     

    诱导用户领取现金红包界面

     

    图2.诱导用户领取现金红包

     

    二、钓鱼流程:

     


     
     

    图3. 钓鱼流程图

     

     

     

    三、伪移动client代码分析

     

    1、该病毒启动后即诱导用户激动设备管理器。激活后隐藏图标,导致卸载失败,且用户不易察觉。

     

    图4. 启动界面

     

     

    2、使用apktool 、dex2jar反编译伪移动client均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。
     

     

    图5. apktool 反编译失败

     

    图6. dex2jar反编译失败

     
    该病毒代码进行了“APKProtect”保护。

     

    图7. APKProtect保护

     

    3、脱壳后代码结构:

     

    图8

     

    4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包括手机型号、安装时间,并隐藏图标,导致用户不易察觉。

     

    图9. 发送通知短信并隐藏图标

     

    5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:

     

    图10. 窃取短信内容

     

    四、眼下,这样的钓鱼诈骗的方式比較盛行,已经实用户被盗刷网银。中国移动也对这样的方式进行了警惕说明。

     

           

    画画11.    中国移动官方网站提醒用户警惕“积分兑换现金”短信诈骗!

  • 相关阅读:
    信用卡:银联,VISA,MasterCard
    Syncthing vs BitTorrent Sync
    语言代码
    ATMEL精妙的IRQ中断处理过程
    CAN 总线通信控制芯片SJA1000 的读写
    ARM ® and Thumb ®-2 指令系统
    DeJaVu update history
    74系列的型号
    2007 Audi A4 INSTRUMENT CLUSTER WIRING DIAGRAM
    0-10岁儿童体重、身高参考值
  • 原文地址:https://www.cnblogs.com/blfshiye/p/4715090.html
Copyright © 2020-2023  润新知