仿冒银行升级助手的木马分析



转：http://www.2cto.com/Article/201404/295785.html

概述

近期我们发现一批伪装成网银客户端升级助手的木马。应用名为“建行升级助手”、“邮政升级助手”、“平安升级助手”等数十款木马。其结构内容基本一致，并且经过了几个版本的升级愈加完善。

木马作恶过程分析

1.       申请管理员权限，防止卸载

当用户点击后首先申请管理员权限，防止用户轻易卸载木马。

其相关代码如下：

2.       向控制号码发送激活信息

向控制号码发送激活短信，提示木马激活成功。

其相关代码如下：

3.       骗取用户卡号密码等信息

伪造银行界面，骗取用户隐私信息。

网络截包分析发现其将用户输入的信息上传到了ip地址为142.91.113.86的服务器上。

通过搜索IP：142.91.113.86得到的结果

并且会验证所填写信息的合法性

控制服务器拿到向所填写手机号码后，会向该发送短信，以控制手机向95533发送内容为“88#88”的短信，目的是将被控手机号码绑定手机银行。

13178216427是控制号码，这个号码属于福建泉州联通

 

4.       监听并转发用户银行验证码

黑客获取了用户账户的信息，同时控制木马拦截银行发给用户的相关验证短信，就可以窃取用户银行卡里的资金，带来极大的财产损失。

目前360安全卫士已经可以查杀。

​