“我前幾個(gè)月對(duì)手機(jī)進(jìn)行了刷機(jī)。12月10日，突然彈出一個(gè)提示框，顯示微信未登錄，登陸后就繼續(xù)玩游戲沒有管。晚上發(fā)現(xiàn)手機(jī)已死機(jī)，第二天重刷后發(fā)現(xiàn)微信被盜。然后直接申訴找回，發(fā)現(xiàn)綁定的QQ和手機(jī)全被解除，綁定微信的一張建設(shè)銀行儲(chǔ)蓄卡里面的8330被消費(fèi)完了?！币陨鲜悄持姓杏脩裘枋龅那闆r。

那么，病毒是如何實(shí)現(xiàn)盜號(hào)，又如何將錢財(cái)一掃而空？讓我們一探究竟！

以其中的一個(gè)病毒樣本timesync.apk為例：

病毒通過注冊(cè)BootBroadcastReceiver實(shí)現(xiàn)自啟動(dòng)服務(wù)，主要的惡意功能包括上報(bào)用戶短信、劫持微信釣魚、上傳微信數(shù)據(jù)、卸載微信、摧毀系統(tǒng)等。

1、監(jiān)控頂層的Activity，啟動(dòng)劫持微信APP的釣魚界面，誘騙用戶登錄、輸入支付密碼。

當(dāng)病毒運(yùn)行后，會(huì)彈出一個(gè)消息框，提示微信登錄過期，建議用戶重新登錄。點(diǎn)擊登陸后，會(huì)誘騙用戶輸入微信賬號(hào)和登陸密碼。大部分用戶會(huì)不假思索地填寫自己的微信帳號(hào)和密碼，此時(shí)，病毒將會(huì)迅速將該信息發(fā)送到攻擊者的服務(wù)器。但這并沒完，病毒會(huì)緊接著索取微信支付密碼。(在你并沒有進(jìn)行正常消費(fèi)支付操作時(shí)，就要求你輸入支付密碼，這不是很奇怪嗎?)

2、打包上報(bào)用戶短信，并監(jiān)聽用戶短信收發(fā)。

至此，這個(gè)微信盜號(hào)木馬已經(jīng)順利得到受害者的微信帳號(hào)、登錄密碼和支付密碼。當(dāng)小偷在其他設(shè)備登錄受害者微信時(shí)，微信的安全功能會(huì)要求提供手機(jī)短信驗(yàn)證碼驗(yàn)證登錄者身份。此時(shí)驗(yàn)證碼會(huì)同樣被病毒上傳，小偷得以順利登錄受害者的微信帳號(hào)。接下來，就是小偷大肆揮霍盜竊的時(shí)間：微信零錢、轉(zhuǎn)帳、紅包等等均可能被盜。

3、打包上傳用戶微信安裝目錄的數(shù)據(jù)，可通過分析用戶數(shù)據(jù)，替換數(shù)據(jù)文件登錄繞過部分安全風(fēng)控限制。

4、從遠(yuǎn)程服務(wù)器輪詢控制命令并執(zhí)行，包括開關(guān)設(shè)置、短信監(jiān)控、微信卸載、系統(tǒng)摧毀、數(shù)據(jù)上報(bào)等。

5、在用戶桌面創(chuàng)建虛假快捷方式。

“微信大盜”傳播渠道

仿冒微信的盜號(hào)木馬會(huì)通過若干個(gè)墻紙應(yīng)用、一鍵轉(zhuǎn)移應(yīng)用到SD卡、Google應(yīng)用下載器、一鍵卸載大師等傳播，在部分非官方刷機(jī)包中也有植入。

ice

收藏 海報(bào)分享