阿里移动安全实验室截获了一款仿冒美团应用的”美团红包”木马。用户安装木马后根据不同的参数，向服务器投递对应的数据，并上报用户敏感信息，包括：手机号，手机硬件及配置信息，用户的银行卡号，身份证号，姓名等各种敏感信息。美团应用安装量和使用频率非常高，而该仿冒木马应用迷惑性又极强，用户极其容易被诱骗安装受侵害。目前阿里钱盾已经可以全面查杀，有效保护用户安全。

一，木马概述

该木马通过伪装成美团红包应用来欺骗用户进行安装，安装之后，仿冒美团应用图标：

截止2015年4月底，目前仿冒美团的恶意应用感染用户数已达5265：

而5月上旬的数量达1449，呈持续上升趋势，聚安全技术团队将会持续进行监测。

二，木马行为及危害
2.1 一旦点击运行，该木马申请激活设备管理权限，防止被其他程序卸载
2.2  根据不同的参数，向服务器投递对应的数据。上报用户敏感信息，包括：手机号，手机硬件及配置信息，用户的银行卡号，身份证号，姓名等信息
2.3 注册短信收件箱内容变化的监视器，拦截短信10086,10010,10000三个号码的短信
2.4 定时自动升级

三，木马的详细分析
3.1 程序启动时，会申请激活设备管理器，用于锁定屏幕和防止其他程序进行卸载：

3.2 程序运行后，会出现一个登陆界面，如果之前未运行过该程序，则需要重新登陆，反之则会进行自动登陆操作。使用任意手机号，即可注册成功，随后进入免费劵页面，页面中的现金奖励数在代码中随机生成，而非从服务器去获取：

3.3 当用户注册之后，会将用户名和密码发送到指定的服务器上，服务器地址经过AES加密，解密后为：http://bug.android-baidu.com/。从whois查询到的信息来看，这个URL非官方URL：

3.4 整个程序会根据不同的参数来决定投递到服务器的数据，如下所示：
    - 注册时的账号信息

- 电话号码

- 用户名、电话号码

- 提现时，填写的银行卡、用户，身份证信息

- 其他信息

3.5 在组装信息完成之后，就跳转到label_6处执行：

3.6更新短信收件箱状态和删除短信：

3.7定时更新程序，并进行安装（有用户介入）：

3.8获取用户输入的银行卡号，开户行，用户名

3.9在进行提现操作时，要求输入银行卡信息及需要输入身份证信息，并且对身份证有一个校验，只有输入了正确的身份证号码才能执行下一步操作，同时身份证号码也会被发送到指定的服务器：

四，总结        
该木马实际上是一个仿冒美团的应用，属于欺诈类应用。其启动界面的颜色跟内容与正版的美团应用及其相似，相当具有迷惑性；另外，程序定时升级和上报数据的URL地址为：http://bug.android-baidu.com/，跟百度官方的URL也及其相似。分别打开两个网页，如下图所示：

要注意的是：android-baidu.com域名注册信息并不是百度公司，属于恶意网站：

对于该样本，目前钱盾可以有效查杀：

聚安全技术团队提醒大家一定要在正规应用市场和官方网站下载安装应用，并建议用户使用手机安全软件如阿里钱盾定期对手机体验和杀毒。如果检测出该木马，建议第一时间更改相关密码，包括银行卡等各种支付密码。

本文来自合作伙伴“阿里聚安全”.