近日,国家互联网应急中心(以下简称“CNCERT”)收到中国反网络病毒联盟(以下简称“ANVA”)成员单位“猎豹移动”报送的安卓“微信盗号木马”程序,第一时间开展分析验证和监测处置工作,现将相关情况通报如下:
此病毒程序安装后无图标,在已安装程序列表中可以看到“wallpapercropper”或者“supersu”的图标;
“微信盗号木马”的恶意行为主要分成3个方面:
1、界面劫持行为:监测“微信”APP,当“微信”启动后,将伪造的登录界面强制覆盖至正在运行的“微信”界面,诱骗并窃取用户输入微信登录账号、登录密码和支付密码;
2、信息窃取行为:窃取用户短信息、“微信”程序所在根目录下的文件、手机固件信息;
3、远程控制行为:向恶意服务器请求控制指令数据,执行服务器返回的控制指令。
启动需要4个触发条件:
(1)手机重启时启动
(2)屏幕唤醒时启动
(3)手机联网时启动
(4)自定义行为
2.1 程序启动后监测微信,当微信启动后便会将伪造的微信登录界面、安全验证界面覆盖至微信界面,诱骗窃取用户微信登录账号、密码、支付密码。
图1:伪造的微信登录界面和安全验证界面
图2:界面劫持行为的代码证据
图3:窃取微信登录密码的代码证据
2.2 程序私自弹窗提示用户微信登录过期,启动伪造的微信登录界面诱骗用户重新登录微信,窃取用户登录账号、密码、支付密码。
图4:提示微信登录过期的提示
图5:提示微信登录过期的代码证据
3.1 窃取短信:该木马程序私自读取本地短信息数据库文件,获取短信息,并上传至恶意服务器:
图6:读取本地短信数据库的代码证据
图7:回传短信数据的代码证据
3.2 窃取文件:私自压缩微信根目录下文件,并上传到恶意服务器。
图8:回传短信数据的代码证据
3.3 窃取固件信息:私自上传用户手机IMEI码、手机型号、系统版本等信息。
图9:回传固件信息的代码证据
程序请求服务器获取数据,并进行解析,根据解析的数据执行相应的操作。
图10:远程控制行为的代码证据
该恶意程序所用的控制域名为uu636.com,CNCERT已协调该域名的注册商美橙互联对该域名进行关停,目前该域名已处于关闭状态。
本次事件涉及到的恶意程序信息如下:
6.1 恶意程序文件MD5:
A19BCA70F4500AF8FF2ECEA29EA697FF
FFEA14CF3FC55DC3D36DC39EF6179D6A
6.2 恶意程序所用的控制域名和URL:
uu636.com
http://uu636.com/wx.aspx
http://uu636.com/sms.aspx
http://uu636.com/upload.aspx
http://uu636.com/state.aspx
http://uu636.com/info.aspx
6.3 恶意程序所用的控制服务器IP地址:
216.250.107.175
近期,各成员单位可通过登录黑名单信息共享平台获取该移动互联网恶意程序信息,包括移动恶意程序的MD5、恶意程序所用的控制域名和URL地址及控制服务器IP地址等信息,具体详情请登陆以下地址获取:http://share.anva.org.cn
本文来自合作伙伴“阿里聚安全”,发表 2017年03月02日 14:28