2013年5月24日 星期五

專竊簡訊的 Android 新木馬程式(Pincer.A)


專竊簡訊的Android新木馬程式(Pincer.A)

利用收訊者看到簡訊會按下『OK』的行為,首先該木馬會發送一則通知,一旦使用者按下就會安裝惡意程式到 Android 的開機啟動程序,並且寫入變成系統背景服務的一部份。

Certificate PIN Code

一旦中招,該木馬會連線到遠端伺服器(例如:http://89.144.xx.xxx/gate/gate.php, https://img-xxxxx.com/android_panel/gate.php) 開始上傳以下的個人資料。

1.device model
2.device serial number
3.IMEI number
4.telecom operator name
5.mobile phone number
6.default system language
7.operation system version
8.root-access availability details

並且該木馬程式提供給攻擊者利用簡訊來控制的指令,例如:

1.start_sms_forwarding [phone number] – start intercepting messages from the specified phone number.
2.stop_sms_forwarding – stop intercepting messages.
3.send_sms [phone number and text] – send an SMS with the specified parameters.
4.simple_execute_ussd – perform a USSD-request.
5.stop_program – stop working.
6.show_message – display a message on the mobile device screen.
7.set_urls – change address of the C&C server.
8.ping – send an SMS with text “pong” to the phone number specified earlier.
9.set_sms_number – change the phone number to which the “pong” text is sent.

該病毒樣本於 5/20 於 VirusTotal 分析結果如下:
https://www.virustotal.com/en/file/032a095067442d60d0df9fadab07553152e5500a67fc95084441752eafd43f70/analysis/

原文出自:F-Secure
轉載自《網路攻防戰》