安卓木马是如何盗取用户手机银行的
作者：红黑联盟 FireFrank
分类 : 比特网
　　银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是，随着手机银行涉及的金钱数额越来越大，攻击者要找到更多创造性的方式来窃取金钱。
　　就在上周，新加坡(ABS)发布了公告称手机银行恶意软件感染安卓智能机的数量大幅上升。我们很有兴趣深入研究这种新兴的威胁，之后我们发现了一个目标是手机银行app的安卓恶意软件，于是我们对它展开了进一步研究。
　　这种移动端恶意软件通过其他恶意软件-一个独立的app或者用户登入恶意网站时进行他们不了解的下载更新进入到用户的手机中。
　　目前为止，我们把所有遇到的伪装过的样本归结命名为假冒的 Flash Player，这个名字并不奇怪，大家都知道"Adobe Flash Player"这个梗(这个东西今年被曝出很多漏洞啊，还有0day什么的，大家都懂的)。Adobe Flash Player所需的权限要比同类普通应用高的多(事实上，在某些情况下安卓并不支持它)。Player最引人注目的权限就是被激活为设备管理员，也就是需要安卓的最高权限，这点很容易被恶意软件操纵。从本质上讲，设备管理员权限赋予了这款恶意软件禁止用户强制停止和卸载app的权利，它的进程决定了移除它非常困难。
　　图1：安装、许可和设备管理员
　　图2：恶意软件要求获取设备管理员权限
　　深入了解恶意代码
　　的配置数据
　　如下图所示，恶意软件检索和解码它的配置文件，Base64编码，使用"@"解析，因此它可以以数组形式储存。
　　图3：代码检索配置文件
　　经过解码的Base64配置显示了它的C&C，目标的应用程序，银行列表，C&C命令等等。
　　图4：Base 64解码的配置数据
　　每当恶意软件需要特定的数据，它可以通过对于数组来说作为索引的硬编码整数值进行检索。如下面的代码所示，整数值14和46指向带有"type"和"device info"值的配置数组的索引。我们还可以看到C&C服务器和作为感染设备标志符的代码值来回应。
　　图5：配置索引
　　我们再来看下清单文件，然后就能很快发现样本想要做什么了。我们很确定这款恶意软件的目标就像我们之前提到的一样，针对手机银行和用户。下面是清单文件的截图：
　　图6：安卓的清单
　　这款恶意软件可以通过创建伪造银行窗口来进行获取被然后用户的银行，如信用卡帐号、账单地址、银行用户名、PIN和密码等等。
　　下图是基于我们样本的被瞄准的银行和支付服务的列表：
　　图7：目标银行和目标支付服务
　　接下来我们再恶意软件的核心功能及主要操作，尤其是执行数据窃取的一系列活动。
　　钓鱼技巧
　　当受害人打开合法手机银行或者支付app时，该恶意软件同时打开了它伪造的银行窗口，然后把两个窗口叠加，用户很难通过界面发现一个新的窗口被打开了。假冒的窗口和原生窗口非常类似。然而，当用户点击其他功能，比如编辑或者屏幕上的菜单功能时就能发现他们的区别了。在这里，假冒的界面没有任何反应，因为假的用户界面没法实现这些功能。
　　图8：伪造的银行界面
　　点击更多任务查看两种登录页面-第一个是合法的应用程序，第二个是伪造的Adobe Flash Player。
　　图9：多任务查看
　　另外一些钓鱼窗口的例子，他们简直和合法窗口太像了：
　　图10：银行网络钓鱼窗口
　　图11：信用卡钓鱼窗口
　　收集登录凭证
　　像前面所说的，最重要的一部就是劝说受害者进入他们伪造的登录界面进行信息验证。因此，恶意软件需要做的第一件事就是决定确定用户使用的是什么公司的银行以及银行界面长什么样。
　　恶意软件定期检查设备上运行的app并通过getPackageName() API调用检索应用程序相关的界面名称然后把这个来自这个API的返回参数和下面这个目标应用程序名字列表进行比较：
　　金融应用程序：
　　com.commbank.netbank
　　com.cba..netbank
　　au.com.nab.mobile
　　org.westpac.bank
　　org.stgeorge.bank
　　com.anz.android.gomoney
　　nz.co.kiwibank.mobile
　　nz.co.westpac
　　nz.co.bnz.droidbanking
　　nz.co.anz.android.mobilebanking
　　de.dkb.portalapp
　　dk.bec.android.mb1.b00037.prod
　　com.hangseng.servicemenuapp
　　com.scb.breezebanking.hk
　　com.citibank.mobile.hk
　　at.bawag.mbanking
　　at.erstebank.george
　　at.spardat.netbanking
　　com.bankaustria.android.olb
　　com.dbs
　　com.posb
　　com.ocbc.mobile
　　com.uob.mobile
　　com..android.p2pmobile
　　com.isis_papyrus.raiffeisen_pay_eyewdg
　　com.bbva.bbvacontigo
　　es.bancosantander.apps
　　Social and communication application
　　com.android.vending
　　com..android.music
　　com.whatsapp
　　com.viber.voip
　　com.instagram.android
　　com..raider
　　com.google.android.gm
　　图12：获取正在运行进程的包的名字
　　如果匹配的应用程序被发现正在受感染设备上运行，负责回应的类会显示上映的伪造的登录页面。
　　图13：在伪造的登录页显示的流量
　　下面的视频解释了一个真实的攻击情形，当用户的手机被感染时，他们的网上银行凭据是如何被窃取的。希望这个关于真实攻击的视频可以给你启示：
　　视频1：DBS钓鱼场景
　　你可以从这个视频看出，当真实的DBS应用被触发时，受害者将看到一个假冒的DBS登录画面。之后你可以看到受害者会被要求进入这个登录界面两次。接下来，受害者将被重定向到合法的DBS应用GUI。
　　在假的登录界面截取的登录凭证就会被恶意软件发送的C&C服务器上：
　　图14：发送窃取的凭证
　　截取一次性密码(OTP)
　　银行经常把短信作为一次性密码(OTP)发用户作为用户ID和密码之外的登录凭证。获取这种额外的登录凭证需要攻击者进入受害者的设备获取接入OTP的权限来获取OTP。
　　恶意软件通过把自己注册成安卓的SMS广播接收方来完成OTP获取工作。在这种理论中，只要受害者在安装时授予了软件合适的执行权限，恶意软件就能的完成这项工作，这种权限在清单文件中被明确的指出了。因此，所有接收的SMS被很容易的劫持，SMS的内容可以被发送到攻击者的C&C服务器。
　　图15：拦截所有接收到的SMS短信
　　持久性机制
　　我们还有兴趣了解恶意软件的持久性机制是如何工作的。在清单列表的表住下，我们快速定位了持久性机制的入口点-android.intent.action._COMPLETED 和 android.intent.action.ACTION_EXTERNAL_APPLICATIONS_AVAILABLE。但是，分析反编译源码并不是一项简单的任务，因为攻击者把java代码进行了模糊处理。好消息是模糊的代码可以被轻易地确定，因为只有一小部分垃圾代码和实际代码进行了混合。
　　清理Service Starter代码中的垃圾代码后，我们意识到恶意软件看起来回避了俄罗斯用户。这可能表明，这段来自俄罗斯。
　　图16：清单文件显示持久性机制的切入点类名称
　　图17：当手机启动时，接收功能将被启动
　　图18：创建服务处理函数从接收器被调用
　　我们可以从图18看出，恶意软件丢弃使用硬编码文件名的SD卡中的隐藏文件。
　　图19：保存文件到SD卡的原始配置数据
　　大多数安卓恶意软件app不会自动安装-他们需要用户参与来感染设备。所以如果你想让你的设备就需要在下载和更新应用程序时保持警惕。明智的做法是从Google商店这种安全的受信任的源来下载应用程序。
　　话虽这么说，恶意软件编写者也会提高钓鱼能力，让用户下载看起来像合法app的恶意软件并进行更新。安装安全软件更有助于保护用户的个人数据和设备上的在线交易资料。
　　主动检测恶意软件，如Android/Acecard.B!tr，C&C服务器就会被监测成Android.Acecard。
　　Fortiguard Lion Team
　　相关MD5哈希：
　　71cfdcbfd404
　　c7aab793ffd6a107fd08dad
　　eeab2f9137c59efdfae5db2b2b93f178
　　d08b2f4d851b2505f4aed31ecfa53c2e
　　a7e28a9efc8a6acb02dc2
　　C&C服务器列表：
　　http://37.235.48.177:34580
　　http://46.108.39.12:34580
　　http://5.196.243.6:34580
　　http://31.148.219.192:34580
　　STIX xml的报告：https://github.com/fortiguard-lion/AceCard/blob/master/acecard.xml
　　如何删除恶意软件
　　第一步：把你的手机或者设置为安全模式。按住手机电源键知道手机提示你关机。接下来，点击并按住电源关闭直到手机提示你重新启动到安全模式，然后点击确定。如果你的设备没有翻译，你可以一下，"你的手机型号如何进入安全模式"。
　　图20：让你的手机进入安全模式
　　第二步：在安全模式里，打开设置菜单，滑到安全选项进入。查看名叫设备管理员的一栏，点击进入。现在它会显示设备的管理员列表。移除它作为设备管理员的一项，停用恶意软件app Adobe Flash Player作为设备管理员。
　　图21：找到注册为设备管理员的可以应用
　　第三步：进入设置带但，滚到应用程序，确保有下载选项。点击恶意软件app Adobe Flash Player，打开app info(app信息)，然后点击uninstall(卸载)并确定。
　　图22：卸载银行木马
　　第四步：用正常模式重启手机
　　更多如何找到恶意软件的指示
　　通过使用如文件管理或者安卓SDK工具的adb第三方应用，你可以浏览额外的信息，如SD卡等，然后你可以查看隐藏文件(在文件名前加.)。然后你可以查看每个隐藏文件，找到类似于图19中的文件名。
　　从设备管理员列表中查看任意不知名的或者没见过的应用，如图21所示。
　　小编寄语
　　小编是果粉!因为的iOS更加安全，安卓因为版本太多，机型不一，每种都有不同的机制，给带来了更多可乘之机，怎么保护我们的隐私不受到侵害？我们的金钱不被窃取？我们的生活不受到影响？定期检查更新，及时进行系统更新;不使用root权限或者锁住root权限;定期杀毒;按时看2cto，了解最新的漏洞资讯，查看自己的手机是否有中毒情况;在付款时不要贪图快而大意;自己加倍小心才能不给罪犯可乘之机。
[ 责任编辑：小石潭记 ]
比特网 12:26:26
从《中国互联网+指数报告（2018）》看数字经济
“互联网+”的这些新变化,你知道吗？
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。三星手机这是什么情况 安装工商银行客户端就这样 在设置应用管理运行里面 自动反复重启工行软_百度知道
三星手机这是什么情况 安装工商银行客户端就这样 在设置应用管理运行里面 自动反复重启工行软
三星手机这是什么情况
安装工商银行客户端就这样
在设置应用管理运行里面 自动反复重启工行软件
我有更好的答案
尊敬的三星用户您好：根据您的描述，建议您：1.重新开关机2.进入手机设定-应用程序管理器-已下载-点击出现问题的应用-清除数据尝试3.卸载客户端重新安装尝试4.备份手机数据（电话簿、短信息、多媒体文件等），恢复出厂设置（进入手机设定-重置/隐私权/私人-恢复出厂设定）如果恢复出厂后问题依旧无法解决，将手机送至就近的三星服务中心进行检测及进一步处理。服务中心地址及联系方式请您访问：三星企业知道，为您提供优质的解决方案，用心解答您的问题，希望能够得到您的满意评价。
三星产品问答服务
主营：电子产品
卸载这个软件吧，版本太高了，你的手机不支持了
刷机也不行吗
那我怎么用这个软件啊
刷机也不行，除非换手机
为您推荐：
其他类似问题
工商银行的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。招商银行手机客户端一登入软件就重启_百度知道
招商银行手机客户端一登入软件就重启
您的回答被采纳后将获得：
系统奖励15（财富值+成长值）+难题奖励30（财富值+成长值）
我有更好的答案
　　&您好，此情况建议您致电95555-2人工服务或登录“在线客服”人工服务，详细提供手机系统、操作步骤等详细信息，工作人员可为您判断核实。感谢您的关注与支持！
为您推荐：
其他类似问题
招商银行的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。在农业银行存取时，被吞钱，然后柜员机显示重启，然后右上角显示不提供存取服务，我的钱应该怎么办？_百度知道
在农业银行存取时，被吞钱，然后柜员机显示重启，然后右上角显示不提供存取服务，我的钱应该怎么办？
后来等柜员机重启后，也没吐钱，然后就走了，准备明天找工作人员。
我有更好的答案
吞钞了，带身份证去最近的银行申请退款即可。
我无卡存入500，急着汇款给别人，会不会钱被人取走？
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。扫一扫关注官方微信
扫一扫下载APP
酒店酒店常旅客知识社区航空航空常旅客知识社区商城飞客里程-实用的航空里程
后使用快捷导航没有帐号？
发日志看帖比价报告优惠攻略IHG品牌专区会籍匹配看帖报告优惠攻略会籍匹配飞客优选飞米商城淘好物
· 发贴277
· 被6人关注
· 最后活跃:
才华横溢勋章
Ta的其他好帖:
钻石会员, 积分 3780, 距离下一级还需 6220 积分
招行掌上生活手机客户端闪退或者反复重启后闪退，求解决方案。快一个月了。华为Mate8手机。
收藏是肯定，送花是美意，打赏是鼓励！
· 发贴101
· 被2人关注
· 最后活跃:
蓝钻会员, 积分 15548, 距离下一级还需 4452 积分
下载之前的版本？
· 最后活跃:
白金会员, 积分 2024, 距离下一级还需 976 积分
删除重新装
· 被5人关注
· 最后活跃:
钻石会员, 积分 3051, 距离下一级还需 6949 积分
之前用5.3.2太恶心，一到支付页面，就黑屏重启软件，一直如此。检查版本更新，没有结果。
· 被2人关注
· 最后活跃:
钻石会员, 积分 4037, 距离下一级还需 5963 积分
提示你该换手机了
· 发贴277
· 被6人关注
· 最后活跃:
钻石会员, 积分 3780, 距离下一级还需 6220 积分
着急，咋办？
· 被2人关注
· 最后活跃:
白金会员, 积分 2217, 距离下一级还需 783 积分
买个苹果，浦发的坑爹东西安卓6.0也闪退，害得我刷回安卓5.1
· 发贴277
· 被6人关注
· 最后活跃:
钻石会员, 积分 3780, 距离下一级还需 6220 积分
目前似乎还没有搞定
· 发贴277
· 被6人关注
· 最后活跃:
钻石会员, 积分 3780, 距离下一级还需 6220 积分
· 被2人关注
· 最后活跃:
钻石会员, 积分 5483, 距离下一级还需 4517 积分
我之前一直正常，前两天手贱更新了版本，一直闪退的不要不要的……
才华横溢勋章
1、最近1年内在酒店、航空、信用卡各版块下发帖并获得热帖标识的帖子数量超过1篇，可获得此勋章
2、获得勋章后，威望值+10
飞客智囊团
飞客智囊团是飞客最忠实的会员，为广大飞客答疑解惑。
申请条件：
1）注册三个月以上
2）白金会员以上
3）每月求助问答回帖大于30
4）擅长酒店、航空、信用卡领域
通过认证的帅哥，特颁发此奖!
热心会员勋章
1、我热心我光荣，为论坛繁荣做出贡献，特颁发此奖!
2、颁发标准：发帖数+精华数*10+威望*2+鲜花&10000
学富五车勋章
1、最近1年内在酒店、航空、信用卡各版块下发帖并获得热帖标识的帖子数量超过5篇，可获得此勋章
2、获得勋章后，威望值+30，飞米值＋500
妙笔生花勋章
1、注册至今，累计获得鲜花数不少于200朵，可获得此勋章
2、获得勋章后，威望值+50、鲜花数+10
繁花似锦勋章
1、注册至今，累计获得鲜花数不少于500朵，可获得此勋章
2、获得勋章后，威望值+100、鲜花数+30
百家争鸣勋章
1、最近30天内在社区心得攻略、入住报告、飞行报告、机场报告、出行报告、申卡心得、用卡经验、活动优惠分类下回帖达到50次，可获得此勋章
2、获得勋章后，威望值+20
雪中送炭勋章
1、最近30天内在社区求助问答分类下回帖达到20次，可获得此勋章
2、获得勋章后，威望值+10
谈古论今勋章
1、最近30天内在社区心得攻略、入住报告、飞行报告、机场报告、出行报告、申卡心得、用卡经验、活动优惠分类下回帖达到20次，可获得此勋章
2、获得勋章后，威望值+10
通过认证的美女，特颁发此奖!
招商银行常用链接
本版最新优惠
本版热门话题
本版最新热门
(window.slotbydup=window.slotbydup || []).push({
id: '4540530',
container: s,
size: '950,90',
display: 'inlay-fix'
关注订阅号}