猎豹移动安全实验室捕获到一类高度危险的盗取手机病毒

2021-11-22 10:56 131 浏览量

近日,猎豹移动安全实验室抓获了一种盗取微信支付资金的高危手机病毒。该病毒捆绑在各种手机 ROM 和应用程序中。中毒后,微信账号立即被盗,严重威胁到与微信支付相关的微信钱包和银行卡资金的安全。目前已经招募了数千名用户。

据中照一位用户介绍:

几个月前我刷了手机。12月11日,弹出提示,提示微信未登录,登录后我不管了,继续玩游戏。晚上发现手机没电了,第二天重新刷后微信被盗。然后直接申诉找回,发现绑定的QQ和手机都解除了,一张建行微信绑定的储蓄卡里的8330已经被消费了。联系微信客服后,对方回复无法支付。

那么,病毒是如何实现账户被盗的,又是如何消灭金钱的呢?

让我们一探究竟!

病毒原理分析:

据猎豹移动安全实验室分析,该微信黑客木马隐藏在各种第三方定制的ROM和APP中,伪装成安卓系统服务模块,通过弹出虚假微信登录和支付获取用户钓鱼接口。用户输入登录密码和支付密码后,即可通过监控用户短信等方式远程窃取微信支付绑定的银行卡余额。

以其中一个病毒样本.apk为例。病毒通过注册r实现自启动服务。主要的恶意功能包括举报用户短信、劫持微信钓鱼、上传微信数据、卸载微信、破坏系统等。

构造一个假的微信消息框:

1、监控顶层,启动钓鱼接口,劫持微信APP,诱骗用户登录并输入支付密码。

即病毒运行时,会弹出消息框,提示微信登录已过期,建议用户重新登录。

点击登录后,用户会被诱骗输入微信账号和登录密码。

伪造、盗取的微信账号和登录密码界面:

大多数用户会不假思索地填写自己的微信账号和密码。这时,病毒会迅速将信息发送到攻击者的服务器。但这还没有结束,病毒会立即索要微信支付密码。(不进行正常的消费支付操作时要求输入支付密码是不是很奇怪?)

伪造冒充微信支付密码界面:

2、对用户短信进行打包和上报,监控用户短信的收发。

微信支付密码怎么设置免密支付_微信零钱没设置过密码_微信未设置过支付密码

至此,微信账号黑客木马已成功获取到受害者的微信账号、登录密码和支付密码。当小偷在其他设备上登录受害者的微信时,微信的安全功能会要求提供手机短信验证码来验证注册人的身份。这时候验证码也会被病毒上传,小偷就可以成功登录受害者的微信账号了。接下来,窃贼将大量时间花在盗窃上。

微信钱包里的所有可用资金都可能被盗。包括:微信找零、转账、红包、京东购物、城市服务、公用事业、小额贷款(如果账户有权限申请贷款)等。猎豹移动安全实验室注意到,受害者损失近万元。

盗号后转账截图

3、将用户微信安装目录的数据打包上传,通过分析用户数据,替换数据文件登录,可以绕过一些安全风控限制。

4、 轮询和执行来自远程服务器的控制命令,包括开关设置、短信监控、微信卸载、系统销毁、数据上报等。

5、在用户桌面上创建一个虚假的快捷方式。

病毒传播渠道

猎豹移动安全专家紧急提醒广大网友高度警惕这种专门针对微信的黑客木马。一旦被招募,后果将是非常严重的。病毒感染后,也会申请ROOT权限。如果受害者已经ROOT了手机,然后错误地将ROOT权限分配给了病毒程序,则需要通过刷机彻底清除病毒。

猎豹移动安全实验室检测到,这款仿冒微信的黑客木马将通过多款壁纸应用、一键转移应用到SD卡、应用下载器、一键卸载大师等方式进行传播,并被植入一些非官方的刷机包。

经常使用微信消息的用户受害的可能性较小。如果您使用微信,在登录其他设备时会收到安全警告。如果是网页版微信,会立即被踢下线。

如何预防:

1、微信账号盗号木马的传播渠道可能来自山寨APP,也可能来自非官方刷机包。特别建议安卓用户不要轻易尝试非官方刷机包,尽量不要ROOT安卓手机,选择可靠的应用市场或官方网站下载软件,不要在任何短信中点击链接下载软件;

2、除非您使用微信支付,否则不要在任何程序窗口中提供您的微信支付密码。如果不简单填写支付密码,小偷就得破解微信支付密码,费力,小偷不会轻易得逞;

版权声明:本文著作权归原作者所有,欢迎分享本文,谢谢支持!
转载请注明:猎豹移动安全实验室捕获到一类高度危险的盗取手机病毒 |