“伪中国移动客户端”——伪基站诈骗

安全 移动安全
近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。

一、简介:

近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。

伪基站发送的伪10086短信

 

[[114198]]

 

图1. 伪10086短信

诱导用户领取现金红包界面

 

[[114199]] 

图2.诱导用户领取现金红包

二、钓鱼流程:

 

[[114200]] 

图3. 钓鱼流程图

三、伪移动客户端代码分析

1、该病毒启动后即诱导用户激动设备管理器,激活后隐藏图标,导致卸载失败,且用户不易察觉。 

[[114201]] 

图4. 启动界面

2、使用apktool 、dex2jar反编译伪移动客户端均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。 

[[114202]] 

图5. apktool 反编译失败 

[[114203]] 

图6. dex2jar反编译失败

该病毒代码进行了“APKProtect”保护。 

[[114204]] 

图7. APKProtect保护

3、脱壳后代码结构: 

[[114205]] 

图8

4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包含手机型号、安装时间,并隐藏图标,导致用户不易察觉。 

[[114206]] 

图9. 发送通知短信并隐藏图标

5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:

 

[[114207]]

 

图10. 窃取短信内容

四、目前,这种钓鱼诈骗的方式比较盛行,已经有用户被盗刷网银,中国移动也对这种方式进行了警惕说明。 

[[114208]] 
[[114209]] 

图11. 中国移动官网提醒用户警惕“积分兑换现金”诈骗短信!

 

责任编辑:蓝雨泪 来源: 百度安全实验室
相关推荐

2016-04-07 18:43:16

2015-03-16 08:25:04

2021-04-26 08:15:16

中国移动5G基站

2021-11-03 16:51:22

中国移动5G套餐宽带

2013-02-27 15:14:04

中国移动华为LTE

2021-06-21 15:11:55

中国移动5G5G基站

2021-09-01 06:39:56

5G 5G网络中国移动

2016-11-02 13:13:36

中国移动4G基站

2021-07-27 05:28:16

5G 5G网络5G基站

2009-07-03 14:31:51

云计算云存储

2009-08-20 18:45:03

中国移动Mobile

2009-07-06 14:42:48

Mocha BSM中国移动摩卡软件

2009-08-12 09:29:09

中国移动Mobile

2012-03-31 16:48:15

移动广告芒果网

2009-08-10 09:46:06

中国移动Mobile

2021-10-21 10:50:37

中国移动5G套餐宽带

2013-12-27 16:43:10

2013-11-06 21:15:39

中国移动爱“心”行动

2015-07-13 14:21:55

中国移动A1体验
点赞
收藏

51CTO技术栈公众号