Loading
0

Trick蠕虫病毒来袭,幕后主使竟是一名高中生

前言
黑客一直是美国电影中的重要元素,很多经典大片中都有黑客的身影,如战争游戏、黑客帝国等。电影中黑客总是神通广大、行侠仗义,《战争游戏》中的年轻黑客大卫莱特曼利用黑客技术避免引爆核武器,《黑客帝国》中尼奥通过黑客技术摆脱虚拟世界控制。
电影中的黑客们利用高超的计算机技术拯救世界,正能量爆棚,激发了无数观众对计算机的向往;但是现实生活中却有“黑客”利用计算机技术开发蠕虫病毒,攻击大众的手机,而这名黑客的真实身份,竟然是一个高中生…
近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动,以免费获取话费的短信诱惑用户下载安装。
该病毒运行后会执行以下恶意行为:
◆窃取用户短信并上传到指定邮箱
◆根据短信指令锁定手机进行勒索
◆根据远程短信指令遍历联系人,并向所有联系人群发附带恶意下载链接的钓鱼短信进行恶意传播
◆一旦发现用户执行卸载此恶意软件的操作,该病毒会直接锁定用户手机,并对用户进行勒索
病毒运行流程图

病毒行为详细分析
窃取用户短信信息
Trick病毒程序运行后,首先获取用户手机中的所有短信,以邮件正文的形式上传至指定邮箱,同时还会将短信内容写入txt文件中同步上传:

通过邮箱上传,邮件标题为“短信”:

通过对Trick病毒样本的溯源,我们发现了该恶意开发者的邮箱信息,在邮箱中发现大量感染用户的隐私信息,其中以各类短信验证码最为常见。
虽然该病毒样本本身并没有窃取用户账户信息的功能,但是考虑到目前大量的隐私信息被泄露,恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息,后续通过短信拦截马执行解绑、改密、转账等操作。
激活设备管理器
运行后,Trick病毒会诱导用户激活设备管理器:

若用户成功激活设备管理器,则会提示用户重启软件:

隐藏图标
激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。

接收短信指令进行远控行为
Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187**发来的短信,解析此短信内容发现它会执行以下操作:

指令1:锁机
锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038**有偿解锁。

指令2:短信
短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。

指令3:群发
群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。

该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。

实时上传短信
Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。

卸载程序锁机
Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时,该病毒会直接将用户手机锁屏并勒索,勒索界面与以上锁机界面相同:

分页阅读: 1 2
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。