仿冒QQ空间的木马分析报告

简介:

 2015年05月28日 17:46  3280

    近日,阿里移动安全实验室截获一款仿冒QQ空间的木马软件。该木马软件高度仿冒QQ空间网页版,安装后可以正常进入QQ空间查看动态,但其启动后就隐藏桌面图标,拦截用户的所有短信并转发给指定的号码,获取联系人并给所有的亲人朋友发送一条附带链接的短信,诱导用户下载安装,当用户收到短信点击下载该仿冒软件并安装后,又会再次向其所有的联系人发送带木马链接的短信,从而使该木马具有极强的传播性。目前阿里钱盾已实现该病毒的查杀,建议用户安装阿里钱盾,确保用户安全。

    一. 木马概述
    该木马通过仿冒QQ空间应用诱骗用户安装,拦截用户短信并转发给指定号码,同时给家人和好友发送含木马下载地址的短信,具备极强的欺骗性,且木马本身只有33KB,体积小,易于传播,下载地址和接收用户短信的号码也有多个,以防止服务器和号码被封杀。截至目前,该木马已经感染56807个用户,且传播行为还在继续,建议用户谨慎防范。


    二. 木马行为分析
    2.1 收到好友短信
    安装了该木马应用的手机会给其通讯录好友发送短信,短信内容诱导用户点击木马下载链接,因为短信来自好友,接收者容易降低警惕性实施进一步的操作。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    2.2 下载木马APP

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    2.3 安装木马APP
    木马应用下载到手机之后,用户点击安装,此后木马应用便获得了转发短信息、读取用户通讯录、发送短信等权限。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    2.4 登录QQ空间
    木马应用安装成功后,用户打开应用,看到的是与QQ空间一样的登录界面,用户完全无法感知它其实是个仿冒应用。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    2.5 展示QQ空间动态
    用户登录后,可以查看到其QQ空间的相关动态,内容也是真实的,以此混淆用户。
   仿冒QQ空间的木马分析报告-空间-阿里聚安全

    三. 木马的技术分析
    3.1 安装后通知
    木马启动后在桌面隐藏图标,以免用户发觉,并第一时间向指定的号码发送安装成功的短信,通知不法分子。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    3.2 批量发送木马短信
    木马读取用户通讯录联系人并批量发送短信,短信内容为:在忙什么呢,这是以前我们的一些合影照,里面有认识你的人哦,有空看看 t.cn/R2***J3,该链接地址即为木马的下载地址。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    3.3 拦截用户短信
    木马会把接收到的用户短信和电话号码转发给指定号码,收集用户个人信息,以备进行更多的可能的欺诈行为。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全

    四. 总结
    该木马仿冒QQ空间应用,其启动界面和登录后所呈现的内容与正版QQ空间极其相似,极容易迷惑用户,因木马给好友群发短信的行为使其具备很强的传播特点,且拦截转发用户短信,上报用户好友手机号等信息,对用户造成的潜在危害巨大。阿里移动安全团队提醒用户一定要在正规应用市场和官方网站下载安装应用,并建议用户使用手机安全软件如阿里钱盾定期对手机体检和杀毒,如果检测出该木马,建议第一时间更改相关密码,包括银行卡等各种支付密码。以下界面为阿里钱盾实现对该病毒木马的查杀。

    仿冒QQ空间的木马分析报告-空间-阿里聚安全




本文来自合作伙伴“阿里聚安全”.

相关文章
|
3月前
|
安全 索引
抓到一只灰鸽子和一匹木马/广告程序
抓到一只灰鸽子和一匹木马/广告程序
|
云安全 安全
瑞星首推“恶意网站监测网” 每天500万网民访问挂马网站
1月8日,瑞星宣布推出“恶意网站监测网(http://mwm.rising.com.cn/)”,这是国内首个专门针对挂马网站、钓鱼网站等互联网威胁的实时监测系统,所有政府机构、企业和个人用户都可以免费浏览该网站,全面、清晰地了解国内网站被黑客“挂马”的情况。
1073 0
|
安全
莫使微博成黑客“投毒”新渠道
拥有近两亿微博用户的中国不仅成为网民第一大国,还极有可能已是微博第一大国。但短短140字的一条微博,其安全性可否与手机短信相提并论呢? 最近,堪称史上最严重的微博安全事件,就出自微博诞生地美国,并发生在微博鼻祖推特(Twitter)上。
1325 0
|
安全 PHP
数据显示社交网站成黑客发动攻击重要渠道
根据Cellopoint Global Anti-spam Center最新的监控数据显示,因为社交网站(SNS, Social Networking Site)的流行,黑客攻击目标从传统的email逐渐转移至此,其中特别热门的Facebook、Plurk、Twitter等网站就成为主要目标;攻击手法则结合木马程序、僵尸网络、社交工程及邮件钓鱼技术,成为安全威胁新趋势。
1240 0
|
安全
怀旧小虎队 谨防挂马网站和极虎病毒
“把你的心,我的心串一串,串一株幸运草,串一个同心圆,让所有期待未来的呼唤,趁青春做个伴……”小虎队唱着歌曲亮相春晚后,掀起了一股怀旧风——“80后”都是听着小虎队的歌长大的。 小虎队再度火了,搜索关键词“小虎队”的网民呈现爆炸式增长(图1),关键词“小虎队”蕴藏的“价值”自然逃不过挂马集团贪婪的眼睛,他们明白,如果利用关键词“小虎队”进行挂马,会有数以百万计、千万计的网民中招。
1124 0
|
监控 安全
黑客网银木马服务器曝光 14家银行网银遭监控
4月7日,金山毒霸云安全中心发布周(4.07-4.12)病毒预警,广大互联网用户特别是网银用户需警惕“IK网银盗号器”(Win32.Troj.Small.rz.134942 )。该网银盗号木马通过邮件传播,专门盗取网银用户的账号密码。
1922 0
|
安全 PHP 数据安全/隐私保护
DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶
本文讲的是DocuSign网站用户资料泄露,病毒团伙利用邮件疯狂作恶,近期,火绒安全实验室发出警报,著名的美国数字文档签署平台 DocuSign的用户正在遭受病毒邮件的攻击,该平台在全球拥有2亿用户,其中包括很多中国企业用户。
2677 0
|
Web App开发 安全 数据安全/隐私保护
一个5年工龄恶意广告软件的生存之道
本文讲的是一个5年工龄恶意广告软件的生存之道,自2017年初以来,ESET研究人员就一直在追踪调查一个针对俄罗斯和乌克兰的复杂攻击。直到最近,研究人员才发现,原来是Stantinko发起的攻击,经过统计,Stantinko是一个自2012年以来,就秘密活动的大规模的广告软件,攻击的用户超过了50万。
1578 0