偽裝成518人力銀行的android惡意軟體

 

最近一直收到518人力銀行忘記密碼的驗證簡訊,問題是根本不是我本人發起的,寫信給518反映之後,也發現原來一開始忘記密碼的簡訊也是假的!!

擬真度極高呀!!

後來一直都沒有在理會這個寄個不停的簡訊,比較有趣的是,原來一切都是在鋪這個梗,之後出現以下這張圖的簡訊:

偽裝成518人力銀行的android惡意軟體  

認真一點看,就會發現www.518-tw.com根本不是真正的518域名呀!....

而且安全認證的手法看起來就不可能是正常系統會這樣做的,基於研究的精神,還是從電腦把這個apk下載下來,反編譯看看在搞甚麼名堂。

 

首先,程式只有32.3k就已經讓人很質疑了,然後他使用的package id是:com.android.system.emial

偽裝成518人力銀行的名字跟圖片

擷取  

他宣告了以下幾個權限:

  • <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
  • <uses-permission android:name="android.permission.INTERNET"/>
  • <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
  • <uses-permission android:name="android.permission.READ_SMS"/>

從以上的權限可以看出,大致上是一種在背景持續挖掘簡訊跟通話紀錄,然後上傳到某資料庫這樣的惡意軟體

呼叫的webservice路徑是:facebook-mybid.com.tw/sms.php

 

主要程式進入點開啟一個不死的service,不斷的收集用戶簡訊

  public void onDestroy()
  {
    super.onDestroy();
    stopForeground(true);
    Intent localIntent = new Intent();
    localIntent.setClass(this, SmSserver.class);
    startService(localIntent);
  }

其中還有利用繼承ContentObserver來實現即時的資料變化偵測,若有新的來電或簡訊,就會馬上背景上傳到對方的資料庫去。

是在是非常的惡意呀!!

這樣大肆搜刮人民的隱私紀錄

所以在這邊強列建議大家升級android 6.0

6.0權限的機制改成Runtime Permissions

也就是跟ios一樣,比較容易侵犯到用戶隱私的權限第一次會跳系統視窗出來,詢問用戶是否同意

所以像這個惡意軟體要讀取簡訊跟電話紀錄等,在6.0就一定會跳系統的視窗詢問,用戶只要按下否,就妥當了。

文章標籤
創作者介紹

宇若彎彎

周宇若 發表在 痞客邦 PIXNET 留言(0) 人氣()