支付宝木马安卓短信窃取者分析

前言

最近关于”点了一条短信 银行卡被盗刷好几千”之类的银行卡盗刷、各类理财账号被莫名转账等新闻越来越多。在这些案例中，非常多受害者都提到手机、验证码等关键词。是的，当前智能手机接收验证码用于更改密码、转账等操作，已经被用在各种产品中。如果这类重要短信被黑客偷偷上传并利用，后果不甚设想，很可能就会成为上面新闻报道的案例。
下文就分析这样一个针对支付宝用户的木马App, 它伪装成安全软件，运行时会窃取各类重要短信并上传到指定服务器。

以下内容翻译、整理自https://www.zscaler.com/blogs/research/fake-security-app-alipay-customers-android-sms-stealer

伪装成支付宝安全控件的木马App
应用名：安全控件
Md5 : fad55b4432ed9eeb5d7426c55681586c
包名 : com.bing.receive**

此木马起名”安全控件”并使用支付宝应用图标，使受害者误认为它是一个用于增强支付宝安全的应用。运行之后，木马会隐藏自身图标。同时，木马会注册多个services, 正是这些services窃取短信，并发送到命令&控制(C&C)服务器。

技术细节分析

安装之后，此木马看起来就像是阿里系的应用

一旦受害者点击运行之后，将出现一个引导页面。3秒之后，这个页面与程序图标都会消失。

此时受害者可能认为这个应用崩溃了，然后已经被安卓系统自动卸载。其实此时木马还在后台运行，并且通过services达到它窃取的目标。

service是一种可以运行在后台并执行长时间任务的Android组件。此木马使用以下services:

• MyService
• DealService
• TestService

同时还会注册一些broadcast receivers。Broadcast receivers是一种根据特定事件执行相应动作的Android组件。此木马注册了以下事件：

• System Boot Receiver
• Massage Receiver
• Screen-On Receiver

在MainActivity的方法中，此木马实现隐藏图标、启动MyService服务.

MyService运行之后，马上初始化其它任务，注册SystemBootReceiver与MassageReceiver。

当接收到短信时，MassageReceiver就会被触发。MassageReceiver的主要任务就是监控短信的接收，并获取短信的内容。一有获取到短信内容，就会调用DealService。

DealService主要任务就是将短信内容发送到命令&控制服务器。它启动一个匿名task, 以post的方式将短信内容发送到服务器。

通过抓包，可以清晰看到这一过程：

SystemBootReceiver在系统启动时就会被触发，这样就可以保证木马在任何时候都是运行的。它的主要任务就是每一次启动时，启动MyService:

总结一下此木马的工作流程：

如何卸载

因为图标已经被隐藏，所以可以通过以下步骤卸载：

• 设置–>应用
• 找到木马并点击
• 点击“卸载”选项
• 点击“确定”

怎样预防这类木马

建议用户只在受信任的应用商店下载App, 不要安装不名来源的App. 可以禁用”设置”中的“允许安装未知来源应用”，这样未知来源的App就不能安装了。