仿冒美团红包木马分析报告
2015年05月18日 11:36 2705
阿里移动安全实验室截获了一款仿冒美团应用的”美团红包”木马。用户安装木马后根据不同的参数,向服务器投递对应的数据,并上报用户敏感信息,包括:手机号,手机硬件及配置信息,用户的银行卡号,身份证号,姓名等各种敏感信息。美团应用安装量和使用频率非常高,而该仿冒木马应用迷惑性又极强,用户极其容易被诱骗安装受侵害。目前阿里钱盾已经可以全面查杀,有效保护用户安全。
一,木马概述
该木马通过伪装成美团红包应用来欺骗用户进行安装,安装之后,仿冒美团应用图标:
截止2015年4月底,目前仿冒美团的恶意应用感染用户数已达5265:
而5月上旬的数量达1449,呈持续上升趋势,聚安全技术团队将会持续进行监测。
二,木马行为及危害
2.1 一旦点击运行,该木马申请激活设备管理权限,防止被其他程序卸载
2.2 根据不同的参数,向服务器投递对应的数据。上报用户敏感信息,包括:手机号,手机硬件及配置信息,用户的银行卡号,身份证号,姓名等信息
2.3 注册短信收件箱内容变化的监视器,拦截短信10086,10010,10000三个号码的短信
2.4 定时自动升级
三,木马的详细分析
3.1 程序启动时,会申请激活设备管理器,用于锁定屏幕和防止其他程序进行卸载:
3.2 程序运行后,会出现一个登陆界面,如果之前未运行过该程序,则需要重新登陆,反之则会进行自动登陆操作。使用任意手机号,即可注册成功,随后进入免费劵页面,页面中的现金奖励数在代码中随机生成,而非从服务器去获取:
3.3 当用户注册之后,会将用户名和密码发送到指定的服务器上,服务器地址经过AES加密,解密后为:http://bug.android-baidu.com/。从whois查询到的信息来看,这个URL非官方URL:
3.4 整个程序会根据不同的参数来决定投递到服务器的数据,如下所示:
- 注册时的账号信息
- 电话号码
- 用户名、电话号码
- 提现时,填写的银行卡、用户,身份证信息
- 其他信息
3.5 在组装信息完成之后,就跳转到label_6处执行:
3.6更新短信收件箱状态和删除短信:
3.7定时更新程序,并进行安装(有用户介入):
3.8获取用户输入的银行卡号,开户行,用户名
3.9在进行提现操作时,要求输入银行卡信息及需要输入身份证信息,并且对身份证有一个校验,只有输入了正确的身份证号码才能执行下一步操作,同时身份证号码也会被发送到指定的服务器:
四,总结
该木马实际上是一个仿冒美团的应用,属于欺诈类应用。其启动界面的颜色跟内容与正版的美团应用及其相似,相当具有迷惑性;另外,程序定时升级和上报数据的URL地址为:http://bug.android-baidu.com/,跟百度官方的URL也及其相似。分别打开两个网页,如下图所示:
要注意的是:android-baidu.com域名注册信息并不是百度公司,属于恶意网站:
对于该样本,目前钱盾可以有效查杀:
聚安全技术团队提醒大家一定要在正规应用市场和官方网站下载安装应用,并建议用户使用手机安全软件如阿里钱盾定期对手机体验和杀毒。如果检测出该木马,建议第一时间更改相关密码,包括银行卡等各种支付密码。
本文来自合作伙伴“阿里聚安全”.
仿冒美团红包木马分析报告相关推荐
- Nexus安卓木马分析报告
概述 2023年3月21日晚上,链安与中睿天下联合研发的监控系统检测到一种新型安卓木马.在经过睿士沙箱系统捕获样本之后,发现该安卓木马极有可能是原安卓网银盗号木马SOVA的变种.与此同时,意大利安全公 ...
- 我分析了2万条饿了么、美团红包记录,这些是红包最多的APP(附数据集)
授权转载自公众号THU数据派(ID:datapi) 作者:窦英通 引子 笔者在2015年7月创建了一个以分享滴滴打车红包为主的微信群聊,创建的本意是为了方便大家在分享红包时不打扰别人,在乘车需要红包时 ...
- 2016 中国互联网仿冒态势分析报告
2016 中国互联网仿冒态势分析报告 一.摘要 基于阿里聚安全在2016年1-8月收录的APK样本数据,从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现83%的热门应用存在仿 ...
- 控制指令高达二十多种:远控木马Dendoroid.B分析报告( 转)
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...
- 超级BT木马的分析报告与查杀.
昨天载了一个代理猎手,然后中招了.按照以往的方法,结束进程,清注册表,折腾了一个晚上,实在痛苦.今儿早上,又折腾,7点到现在12点,终于把所有它加载与修改的程序和键值都找了出来.实在是BT啊,以下是我 ...
- 全球与中国儿童摇摆木马市场深度研究分析报告(2021)
[报告篇幅]:102 [报告图表数]:153 [报告出版时间]:2021年1月 报告摘要 2019年,全球儿童摇摆木马市场规模达到了xx亿元,预计2026年将达到xx亿元,年复合增长率(CAGR)为x ...
- 2022 医疗卫生行业应急响应形势分析报告 脱敏板
声明 本文是学习2022医疗卫生行业网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 医疗卫生行业应急响应形势分析 2021年1-12月,奇安信集团安服团队共参 ...
- 全球及中国信息安全产业应用前景及投融资状况分析报告2021-2027年版
全球及中国信息安全产业应用前景及投融资状况分析报告2021-2027年版 HS--HS--HS--HS--HS--HS--HS--HS--HS--HS--HS--HS--HS--HS-- [修订日期] ...
- Xshell高级后门完整分析报告
Xshell高级后门完整分析报告 from:https://security.tencent.com/index.php/blog/msg/120 1. 前言 近日,Xshell官方发布公告称其软件中 ...
最新文章
- mysql数据库用户管理及日志文件
- Eclipse 动态库调试(联合调试)
- JWT 和 session验证
- c#数据库訪问返回值类型为SqlDataReader时使用using时注意的问题
- mysql 5.6.10 32_安装mysql-5.6.10-win32 解压版-略有修改
- qt中关于按钮的click()函数卓见
- 巨额流量费其实可以避免
- linux 服务端口查询,linux 怎么查看服务和端口
- ubuntu15.04源失效问题修复
- 史上最全的MSSQL复习笔记
- Macbook Pro 使用小记
- Drools规则引擎
- JAVA面试技巧之项目介绍
- Win系统 - 尚未安装,.NET Framework 4,原因是:HRESULT 0x80240037
- JavaScript基础知识总结(必看篇)
- educoder—web:页面元素和属性
- 电脑蓝屏怎么办 七大原因及解决办法来帮你
- iOS touchID 处理办法
- xadmin自定义页面
- 【树形DP】爱心蜗牛
热门文章
- Fast RCNN详解
- Spring Boot实战 ,丁雪丰 (译者) .pdf
- 常用的文件类型有哪些?有什么类型,属于什么文件?
- 【Mac】加快Magic Mouse的移动速度
- tplink703n无线打印服务器,TP-Link TL-WR703N无线路由器客户端模式(Client)设置上网
- Java操作ZIp文件
- matlab mat文件转fcf,Matlab的FDATool设计滤波器导出
- carthage命令
- [Python系列-23]:WARNING: Retrying (Retry(total=4, connect=None, read=None, redirect=None, status=None)
- 【jeeWeb】jeeWeb在Tomcat跑起来