愛鋒貝

標題: 警惕!“微信支付大盜”病毒來襲 [打印本頁]

作者: 果殼醬    時間: 2022-3-20 14:27
標題: 警惕!“微信支付大盜”病毒來襲
近日,獵豹移動安全實驗室捕獲到一類高度危險的,盜取微信支付資金類的手機病毒,多款手機ROM和APP中均捆綁了該病毒。中毒后,微信帳號隨即被盜,嚴重威脅微信錢包及微信支付所關聯(lián)的銀行卡資金安全,目前已有上千名用戶中招。
據(jù)某中招用戶回述:
前幾個月將手機進行了刷機。12月11日,突然彈出一個提示框,顯示微信未登錄,登陸后就繼續(xù)玩游戲沒管。晚上發(fā)現(xiàn)手機已死機,第二天重刷后發(fā)現(xiàn)微信被盜。然后直接申訴找回,發(fā)現(xiàn)綁定的qq和手機全被解除,綁定微信的一張建設銀行儲蓄卡里面8330被消費完了。聯(lián)系微信客服后,對方回應無法賠付。
那么,病毒是如何實現(xiàn)盜號,又如何將錢財一掃而空?
讓我們一探究竟!
病毒原理分析:
經(jīng)獵豹移動安全實驗室分析發(fā)現(xiàn):原來,該微信盜號木馬暗藏于魚龍混雜的各類第三方定制ROM和APP中,偽裝為安卓系統(tǒng)服務模塊,通過彈出偽造的微信登錄和支付的釣魚界面,獲得用戶的登錄密碼以及支付密碼后,再通過監(jiān)控用戶短信等手段,遠程竊取微信支付綁定的銀行卡余額。
以其中的一個病毒樣本timesync.apk為例,病毒通過注冊BootBroadcastReceiver實現(xiàn)自啟動服務,主要的惡意功能包括上報用戶短信、劫持微信釣魚、上傳微信數(shù)據(jù)、卸載微信、摧毀系統(tǒng)等。
構(gòu)造偽造的微信消息框:

(, 下載次數(shù): 20)
1,監(jiān)控頂層的Activity,啟動劫持微信APP的釣魚界面,誘騙用戶登錄、輸入支付密碼。

(, 下載次數(shù): 19)
即當病毒運行后,會彈出一個消息框,提示微信登錄過期,建議用戶重新登錄。

(, 下載次數(shù): 17)
點擊登陸后,會誘騙用戶輸入微信賬號和登陸密碼。
偽造騙取微信賬號和登錄密碼的界面:

(, 下載次數(shù): 19)

大部分用戶會不加思索地填寫自己的微信帳號和密碼,此時,病毒將會迅速將該信息發(fā)送到攻擊者的服務器。但這并沒完,病毒會緊接著索取微信支付密碼。(在你并沒有進行正常消費支付操作時,就要求你輸入支付密碼,這不是很奇怪嗎?)
偽造騙取微信支付密碼的界面:

(, 下載次數(shù): 20)
2,打包上報用戶短信,并監(jiān)聽用戶短信收發(fā)。

(, 下載次數(shù): 19)
至此,這個微信盜號木馬已經(jīng)順利得到受害者的微信帳號、登錄密碼和支付密碼。當小偷在其他設備登錄受害者微信時,微信的安全功能會要求提供手機短信驗證碼驗證登錄者身份。此時驗證碼會同樣被病毒上傳,小偷得以順利登錄受害者的微信帳號。接下來,就是小偷大肆揮霍盜竊的時間。
微信錢包里所有可以利用的資金,均有可能被盜。包括:微信零錢、轉(zhuǎn)帳、紅包、京東購物、城市服務、水電費、微粒貸(假如該帳戶有權限申請貸款的話)等等。獵豹移動安全實驗室已注意到有受害者損失近萬元。


盜取賬號后轉(zhuǎn)賬的截圖

(, 下載次數(shù): 18)

3、打包上傳用戶微信安裝目錄的數(shù)據(jù),可通過分析用戶數(shù)據(jù),替換數(shù)據(jù)文件登錄繞過部分安全風控限制。

(, 下載次數(shù): 19)
4、從遠程服務器輪詢控制命令并執(zhí)行,包括開關設置、短信監(jiān)控、微信卸載、系統(tǒng)摧毀、數(shù)據(jù)上報等。

(, 下載次數(shù): 19)

(, 下載次數(shù): 19)

5、在用戶桌面創(chuàng)建虛假快捷方式。

(, 下載次數(shù): 19)
病毒傳播渠道
獵豹移動安全專家緊急提醒網(wǎng)民高度警惕這個專門針對微信的盜號木馬,一旦中招,后果十分嚴重。該病毒感染后,還會申請ROOT權限,假如受害者已將手機ROOT,而后又錯誤地將ROOT權限分配給病毒程序,就需要通過刷機來徹底清除病毒。

獵豹移動安全實驗室監(jiān)測到這個仿冒微信的盜號木馬會通過若干個墻紙應用、一鍵轉(zhuǎn)移應用到SD卡、Google應用下載器、一鍵卸載大師等傳播,在部分非官方刷機包中也有植入。

微信消息頻繁的用戶受害概率較低,如果你正在使用微信,你的帳戶在其他設備登錄時,會收到安全警告提醒。如果是web微信,會立刻被踢下線。

(, 下載次數(shù): 19)
如何防范:
1 、該微信盜號木馬的傳播渠道可能來自山寨APP,也可能來自于非官方的刷機包。特別建議安卓用戶不要輕易嘗試非官方刷機包,盡可能不要ROOT安卓手機,選擇可靠的應用市場或者官網(wǎng)下載軟件,不從任何短信中點擊鏈接下載軟件;

2 、除非自己正在使用微信支付,否則不要在任何程序窗口中提供自己的微信支付密碼。如果你不簡單填寫支付密碼,小偷要破解微信支付密碼,需要費一番功夫,小偷不會輕易得手;

3 、如果你已經(jīng)發(fā)現(xiàn)自己微信帳號資金被盜,請先聯(lián)系微信官方客服申請凍結(jié)賬號(首頁 - 110反詐騙中心),再聯(lián)系警方報案處理;

4、安裝獵豹安全大師或其他手機殺毒軟件防止手機中毒。
獵豹安全大師攔截木馬截圖:

(, 下載次數(shù): 18)


-----------------------------
作者: 玫瑰48    時間: 2022-3-20 15:39
iOS表示無懼。。
作者: 安于心    時間: 2022-3-20 17:22
“多款手機ROM”
引人入勝啊
作者: 朱丫    時間: 2022-3-20 18:37
其實IOS也可以做到,只是暫時還沒人去做
作者: 靜靜心    時間: 2022-3-20 19:53
Nexus用原生安卓,Googleplay無壓力~
作者: 珠兒    時間: 2022-3-20 21:23
傳播途徑就是不正規(guī)第三方應用市場
作者: 阿利亞亞    時間: 2022-3-20 23:14
蘋果系統(tǒng)電腦 及 蘋果手機會受影響嗎?




歡迎光臨 愛鋒貝 (http://7gfy2te7.cn/) Powered by Discuz! X3.4