本Blog主要以紀錄小編工作上所遇到的點點滴滴,所收錄之文章來至各大媒體及Blog,幾乎皆非原創文章,僅提供小編本人進行記錄方便資料查找,並會註明出觸及連結,如有任何疑義請來信告知,謝謝!
2013年5月24日 星期五
專竊簡訊的 Android 新木馬程式(Pincer.A)
專竊簡訊的Android新木馬程式(Pincer.A)
利用收訊者看到簡訊會按下『OK』的行為,首先該木馬會發送一則通知,一旦使用者按下就會安裝惡意程式到 Android 的開機啟動程序,並且寫入變成系統背景服務的一部份。
一旦中招,該木馬會連線到遠端伺服器(例如:http://89.144.xx.xxx/gate/gate.php, https://img-xxxxx.com/android_panel/gate.php) 開始上傳以下的個人資料。
1.device model
2.device serial number
3.IMEI number
4.telecom operator name
5.mobile phone number
6.default system language
7.operation system version
8.root-access availability details
並且該木馬程式提供給攻擊者利用簡訊來控制的指令,例如:
1.start_sms_forwarding [phone number] – start intercepting messages from the specified phone number.
2.stop_sms_forwarding – stop intercepting messages.
3.send_sms [phone number and text] – send an SMS with the specified parameters.
4.simple_execute_ussd – perform a USSD-request.
5.stop_program – stop working.
6.show_message – display a message on the mobile device screen.
7.set_urls – change address of the C&C server.
8.ping – send an SMS with text “pong” to the phone number specified earlier.
9.set_sms_number – change the phone number to which the “pong” text is sent.
該病毒樣本於 5/20 於 VirusTotal 分析結果如下:
https://www.virustotal.com/en/file/032a095067442d60d0df9fadab07553152e5500a67fc95084441752eafd43f70/analysis/
原文出自:F-Secure
轉載自《網路攻防戰》
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言