Android 假冒建行网银病毒分析
2014-05-11 12:51
246 查看
如今手机网银的使用越来越方便,无论是“双十一”、“XX购物狂欢“,还是转帐、汇款,用户使用手机进行金钱操作都更加频繁,然而,百度安全实验室近期截获到一款新型病毒,不仅伪装成中国建设银行安全控件,私自发送短信并监控用户的短信接收,还隐藏该病毒自身图标,使用户很难发现,并激活设备管理器,让用户很难直接清除。
详细分析:
病毒分类:FakeCCB.A(冒牌网银)
病毒行为危害:该程序伪装成中国建设银行插件,私自发送短信,监控短信接收,并伪装保护自身导致难以卸载。
行为分析:
1、 启动后隐藏自身图标,使得用户无法在程序启动栏里找到程序图标,之后启动设备管理器激活提示,当用户选择激活后,程序将很难卸载。
图1 点击图标启动病毒后,会隐藏病毒自身图标
图2 病毒启动后进行的各种恶意行为
2、 制造假冒卸载菜单,迷惑用户选择。在卸载的时候将会提示如图菜单。普通用户一般会选择“卸载程序”,实际上“卸载程序”是该病毒注册的,因此点击“卸载程序”是无法卸载该应用的,应该选择“打包安装程序”才能正常卸载,如图:
图3 在卸载的时候欺骗用户,上为正确的卸载方式
图4 在AndroidManifest.xml中注册假冒卸载程序菜单
3、另外,该病毒还会后台监控用户的收件箱并拦截指定短信:
图5 监控用户短信收件箱
图6 拦截指定短信
转自:http://safe.baidu.com/2013-11/fakeccb.html
详细分析:
病毒分类:FakeCCB.A(冒牌网银)
病毒行为危害:该程序伪装成中国建设银行插件,私自发送短信,监控短信接收,并伪装保护自身导致难以卸载。
行为分析:
1、 启动后隐藏自身图标,使得用户无法在程序启动栏里找到程序图标,之后启动设备管理器激活提示,当用户选择激活后,程序将很难卸载。
图1 点击图标启动病毒后,会隐藏病毒自身图标
图2 病毒启动后进行的各种恶意行为
2、 制造假冒卸载菜单,迷惑用户选择。在卸载的时候将会提示如图菜单。普通用户一般会选择“卸载程序”,实际上“卸载程序”是该病毒注册的,因此点击“卸载程序”是无法卸载该应用的,应该选择“打包安装程序”才能正常卸载,如图:
图3 在卸载的时候欺骗用户,上为正确的卸载方式
图4 在AndroidManifest.xml中注册假冒卸载程序菜单
3、另外,该病毒还会后台监控用户的收件箱并拦截指定短信:
图5 监控用户短信收件箱
图6 拦截指定短信
转自:http://safe.baidu.com/2013-11/fakeccb.html
相关文章推荐
- Android最新锁屏病毒分析及解锁
- Android病毒样本分析(3)
- 【Android病毒分析报告】 - Obad
- 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
- Android最新敲诈者病毒分析及解锁
- 【Android病毒分析报告】 - Chuli
- 【Android病毒分析报告】 - AVPasser 对抗安全软件监控
- Android病毒样本分析(2)
- 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
- Android病毒分析技巧和方法总结
- Android 病毒分析报告与技巧
- 【Android病毒分析报告】--FakeInstaller
- 【Android病毒分析报告】 - BadNews
- 【Android病毒分析报告】 - ZxtdPay 吸费恶魔
- 一个简短的android病毒分析
- 【Android病毒分析报告】 - Claco
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- Androidframework窃取用户隐私病毒分析
- Android病毒样本分析(1)
- Android逆向与病毒分析