偽裝成518人力銀行的android惡意軟體
最近一直收到518人力銀行忘記密碼的驗證簡訊,問題是根本不是我本人發起的,寫信給518反映之後,也發現原來一開始忘記密碼的簡訊也是假的!!
擬真度極高呀!!
後來一直都沒有在理會這個寄個不停的簡訊,比較有趣的是,原來一切都是在鋪這個梗,之後出現以下這張圖的簡訊:
認真一點看,就會發現www.518-tw.com根本不是真正的518域名呀!....
而且安全認證的手法看起來就不可能是正常系統會這樣做的,基於研究的精神,還是從電腦把這個apk下載下來,反編譯看看在搞甚麼名堂。
首先,程式只有32.3k就已經讓人很質疑了,然後他使用的package id是:com.android.system.emial
偽裝成518人力銀行的名字跟圖片
他宣告了以下幾個權限:
- <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
- <uses-permission android:name="android.permission.INTERNET"/>
- <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
- <uses-permission android:name="android.permission.READ_SMS"/>
從以上的權限可以看出,大致上是一種在背景持續挖掘簡訊跟通話紀錄,然後上傳到某資料庫這樣的惡意軟體
呼叫的webservice路徑是:facebook-mybid.com.tw/sms.php
主要程式進入點開啟一個不死的service,不斷的收集用戶簡訊
public void onDestroy() { super.onDestroy(); stopForeground(true); Intent localIntent = new Intent(); localIntent.setClass(this, SmSserver.class); startService(localIntent); }
其中還有利用繼承ContentObserver來實現即時的資料變化偵測,若有新的來電或簡訊,就會馬上背景上傳到對方的資料庫去。
是在是非常的惡意呀!!
這樣大肆搜刮人民的隱私紀錄
所以在這邊強列建議大家升級android 6.0
6.0權限的機制改成Runtime Permissions
也就是跟ios一樣,比較容易侵犯到用戶隱私的權限第一次會跳系統視窗出來,詢問用戶是否同意
所以像這個惡意軟體要讀取簡訊跟電話紀錄等,在6.0就一定會跳系統的視窗詢問,用戶只要按下否,就妥當了。