【Android病毒分析汇报】 - KorBankDemon “吸金幽灵”打劫银行

【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

本文章由Jack_Jia编写，转载请注明出处。  
文章链接：http://blog.csdn.net/jiazhijun/article/details/12112733

作者：Jack_Jia    邮箱： 309zhijun@163.com

    近期百度安全实验室发现一款“吸金幽灵“新病毒，该病毒专门用于窃取用户金融类账户信息。根据监控到的数据，目前该病毒仅针对韩国用户，但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载，安装成功运行后，在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在，从而长期驻留在用户设备中。运行时动态检测运行环境，如果运行在模拟器环境则不触发恶意行为，从而躲避动态分析系统的检测。

    该病毒恶意行为如下：

      1、发送特定短信到特定号码或所有联系人。

      2、卸载官方金融类客户端。

      3、自动下载山寨金融类客户端并提示用户安装。

      4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

      5、上传设备联系人信息到服务器。

   下面对该病毒样本进行简单分析：

   样本MD5 ：c11e00312ef66a74559933bc77c3f027

   应用包名：com.google.game.store

   1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播，以便恶意组件能够顺利运行。

 

 

  恶意程序代码树结构：

 

    2、病毒恶意组件功能及交互图

         该病毒窃取银行信息的基本思路是：

            1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

            2、提示用户升级银行客户端，诱骗用户卸载正版银行客户端，并安装山寨银行客户端。

            2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

            3、病毒拦截银行发送的短信交易验证码并发送到服务器。

       这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重！！！

 

   3、恶意代码片段截图

      （1）上传设备联系人信息

   （2）发送短信到所有联系人和特征号码

  （3） 拦截短信并上传短信息

  （4）卸载官方金融类客户端并下载安装山寨金融类客户端（用于获取用户金融账户、密码等信息）

        官方和山寨客户端包名对应关系：

 

     根据设备已安装金融类客户端不同下载相应山寨客户端。