? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?FakeBank

文件信息

病毒惡意行為

該病毒運行后彈出設(shè)備管理器激活界面，圖標隱藏，電話薄聯(lián)系人列表截取，SMS發(fā)送及收件箱所有信息攔截，干擾通話，下載惡性偽裝韓國銀行軟件，利用漏洞設(shè)備管理器激活頁面里不顯示惡性程序而導致用戶卸載不了軟件等行為。

運行界面

IP地址顯示為日本

詳細分析

惡性樣本運行2秒后彈出設(shè)備管理器激活界面，8秒過后把自己圖標隱藏。

手機BOOT以后會執(zhí)行以下服務(wù)，ProcessRemoteCmdService.class,ClientService.class,SmsService.class, Contac tsService.class, CallService.class另外還有惡性軟件終止運行后會自啟動服務(wù)惡性功能

利用sendSmsBySmsList函數(shù)phoneList和smsContent發(fā)送到服務(wù)器。

來電攔截及通話記錄刪除代碼

客戶端2分鐘一次query_intercept,5分鐘一次反復的監(jiān)視update_state.

刪除手機里安裝的正常韓國銀行軟件

韓國銀行介紹

正常韓國銀行軟件刪除以后利用bankHijack()函數(shù)在指定的地址里下載偽裝韓國銀行圖標的惡性樣本及安裝

手機聯(lián)系人信息攔截代碼

用戶收件箱及接收的短信全部發(fā)送到指定服務(wù)器

上傳到服務(wù)器的其他敏感信息有 用戶信息，手機信息，通話內(nèi)容信息，錄音信息等。

配置文件信息里能看到設(shè)備管理器激活設(shè)置時receiver里沒有Action.因此設(shè)備管理器激活以后設(shè)備管理器設(shè)置里不顯示此樣本激活信息而取消不了也卸載不了樣本。只能用工具卸載或者初始化設(shè)備。

總結(jié)

以上是生活随笔為你收集整理的【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。