手機支付病毒的真實面孔

0 評論 11466 瀏覽 2 收藏 15 分鐘

隨著移動支付的不斷普及,手機支付病毒開始逐漸蔓延。手機病毒是如何在不經意之間盜取我們的錢財呢?本期大講堂將聯合騰訊手機管家首發2014年手機支付安全報告,揭開手機病毒的真實面紗.

手機支付類病毒攻擊的形式和特征

?騰訊移動安全實驗室針對目前已發現的82805個手機支付類病毒的特征進行歸類統計發現,支付類病毒最大特征是表現為靜默聯網、刪除短信、發送短信、讀短信、開機自啟動。其中,靜默聯網比例高達61.09%、位居第一,靜默刪除短信、靜默發送短信、開機自啟動、讀短信的病毒行為分別占比37.3%與36.51%、30.1%、19.74%。分別位居第二和第三、第四、第五。

?

?另外,靜默安裝、靜默卸載、監聽鍵盤輸入、靜默獲取root權限分別占比為5.62%、4.77%、4.52%、3.34%。這四個病毒行為可在用戶不知情的情況下,可卸載掉手機端重要軟件(安全軟件),安裝病毒子包或者監聽用戶鍵盤輸入的動作或內容、獲取root權限、竊取用戶賬號密碼等隱私,可對用戶造成極大危害。目前,支付類病毒感染用戶總數已達到1126.75萬。

騰訊移動安全實驗室通過對支付類病毒進行從特征共性再進行總結分類,主要分為以下幾種類型:

3.1? 二次打包支付類病毒:緊盯一線電商品牌

2013年初,騰訊移動安全實驗室截獲了首款感染國內銀行手機客戶端——中國建設銀行的手機支付病毒a.expense.lockpush(洛克蠕蟲),該病毒通過二次打包的方式把惡意代碼嵌入銀行APP并私自下載軟件和安裝,進一步安裝惡意子包,竊取銀行帳號及密碼,繼而盜走用戶賬號中的資金。該病毒是典型的二次打包類支付類手機病毒。

另外,騰訊手機管家在2013年查殺的“銀行鬼手”(a.expense.tgpush)、“銀行扒手”(a payment googla b)、“銀行毒手”(a.expense.googla.a)等病毒均屬于該類?!般y行鬼手”病毒的特征是,未經用戶允許,后臺私自下載未知軟件,給用戶造成資費消耗和存在流氓行為。

“銀行毒手”、銀行扒手”這類手機支付類病毒通過二次打包,偽裝成正常軟件,在后臺運行惡意程序,給用戶造成的危害包括個人手機信息隱 私泄露,私自發送短信造成資費消耗,而用戶全不知情。這類手機支付類病毒,給用戶造成的危害性相對較小,但普遍針對銀行類、購物類軟件進行二次打包。比如 在2014年2月,“銀行毒手”通過二次打包偽裝大量一線電商類APP,包括偽裝唯品會、淘寶特賣、聚美優品等軟件誘騙用戶下載。而該病毒可屏蔽回饋信息,上傳手機信息,而這些特征也可以指向用戶手機支付確認短信,對用戶的支付安全構成了一定的威脅。

3.2 高危支付病毒仿冒程序? 支付賬號密碼危機重重

目前出現的高危支付類病毒的目的都非常明確,那就是緊盯手機支付軟件與購物軟件、手機銀行類軟件。在手機支付類APP領域,支付寶和淘寶是被支付類病毒緊盯的重點支付購物類APP。

仿冒移動支付購物類APP的支付類病毒中,2013年5月,騰訊手機管家查殺的“偽淘寶”(a.privacy.leekey.b)則是典型病毒。該病毒可通過模擬淘寶官方的用戶登錄頁面收集用戶輸入的淘寶帳號密碼以及支付密碼,通過頁面誘導用戶輸入,并轉發淘寶的帳戶與密碼。

當手機用戶安裝“偽淘寶”木馬客戶端之后,在“偽淘寶”的木馬客戶端登錄頁面,用戶輸入用戶名和密碼,點擊登錄,就會執行發送短信的代碼,將用戶的賬戶名和密碼發送到指定的手機號碼13027225522,同時誘騙用戶安裝包名為taobao.account.safety的惡意子包,軟件名稱為“帳號安全服務”。當用戶安裝完該惡意子包后,再次點擊提交會發出廣播,啟動惡意子包服務。

 

可以看出,該病毒偽裝成淘寶客戶端,騙取用戶淘寶帳號、密碼以及支付密碼發送到指定的手機號碼,同時誘騙用戶安裝惡意子包,造成用戶核心隱私和資金的大規模泄漏。該病毒的存在,使得手機購物、支付安全的風險大增。

3.3 驗證碼成高危支付病毒竊取資金的核心環節

由以上手機支付類病毒行為統計比例可以看出,靜默刪除短信、靜默發送短信、讀短信的病毒行為分別占比37.3%與36.51%、19.74%。分別位居第二和第三、第五??梢钥闯龆绦乓殉蔀槭謾C支付類病毒木馬的重要竊取目標。

騰訊移動安全實驗室專家提醒:由于支付寶等第三方支付賬號的手機驗證的權限高于支付寶數字證書權限,導致任何人通過支付寶捆綁的手機號都可以找回支付寶密碼,刪除和捆綁銀行卡,進入余額寶進行轉賬,所以一旦手機丟失,第三方支付賬號將全面淪陷。

另一方面,在手機支付的的過程中,手機驗證碼成為極為重要的一環。根據騰訊移動安全實驗室的抽樣統計,19.74%的支付類病毒可以讀取用戶短信。這里的“用戶短信”包括用戶支付交易的手機驗證碼,而黑客可通過驗證碼破解用戶的支付賬號。

即如果黑客能竊取到手機驗證碼,那么再結合竊取到的用戶手機號碼等隱私信息,可以取消數字證書等設置,對支付寶交易的安全造成巨大威脅。而哪些病毒在盯著手機驗證碼?

2013年12月,騰訊移動安全實驗室截獲了一個名為a.remote.eneity(“短信盜賊”)的手機病毒,該病毒可轉發手機用戶短信(包括驗證碼短信)到指定號碼,并攔截用戶短信,給用戶商業隱私、支付安全等帶來嚴重威脅。

2013年末,騰訊移動安全實驗室工程師檢測查殺到一個針對淘寶的高危手機病毒——“盜信僵尸”(a.expense.regtaobao.a),該病毒可將中毒手機變成“肉雞”,私自發送短信注冊淘寶帳號,同時可攔截屏蔽自動回復系列支付確認短信,盜取手機支付確認驗證碼和手機資費,甚至威脅支付寶賬戶余額。2014年2月,騰訊手機管家已再次查殺到該病毒。

可見“短信盜賊”和“盜信僵尸”病毒均可以竊取手機支付驗證碼?!氨I信僵尸”病毒的特征是監控手機支付類驗證碼,通過竊取驗證碼來配合竊取支付里的金額,而騰訊手機管家之前查殺的“短信竊賊”、“竊信鬼差”病毒都屬此類。

2014年,騰訊手機管家查殺了一款名為“鬼面銀賊”的支付類病毒,該病毒可偽裝成銀行、金融、理財等熱門應用,騙取用戶下載,一旦安裝激活會竊取用戶銀行賬號密碼、身份證和姓名信息,同時還會私自攔截和上傳用戶短信(包括驗證碼短信)內容到指定號碼。

這種支付類病毒盜取網銀的手段非常明顯:即轉發用戶短信或監控收集支付驗證碼,由于手機用戶都捆綁了網銀、支付寶等,當網銀、支付寶等 發生消費、支付操作的時候,都會收到短信提醒,內容涉及消費金額、賬號余額、支付過程中的短信驗證碼等信息。而這類支付類病毒可通過攔截這些涉及到網銀和 支付的短信內容來竊取用戶網銀資金,這些病毒的存在,是用戶手機支付的隱憂。

3.4? 監控誘導特征成為手機支付類病毒高?;葸M的一個信號

迄今為止最兇悍的監控類手機支付類病毒是騰訊手機管家查殺的“銀行悍匪”(a.rogue.bankrobber),該病毒可以直接監控20多個手機銀行的APP,竊取帳號、密碼等信息。

下面重點詳細講解分析該病毒的特征與感染情況。

2014年1月10日, 基于騰訊手機管家產品服務的騰訊移動安全實驗室截獲了高危手機支付類手機病毒“銀行悍匪”(a.rogue.bankrobber)。

首先,先總體了解一下a.rogue.bankrobber.[銀行悍匪]的病毒特征:

“銀行悍匪”病毒由母程序(簡稱:母包)和子程序(簡稱子包)組成,母包中含有惡意子包。母包通常被二次打包到熱門游戲如100個任務、坦克大戰中,通過游戲軟件需要安裝資源包等方式誘導用戶安裝和啟動惡意子包。子包是核心的惡意程序,會進一步誘導用戶激活設備管理器,獲取ROOT權限,刪除SU文件,安裝后隱藏圖標,卸載殺毒軟件,監控指定Activity頁面。

病毒可隱藏在后臺竊取用戶手機信息和短信信息,同時刪除短信和私自發送短信,并且竊取用戶的通話記錄,還會根據短信命令控制手機,比如,開啟監聽短信,竊取通話記錄,屏蔽回執短信,刪除所有短信,并讀取手機中安裝的購物客戶端(淘寶)和銀行客戶端信息。

目前,銀行悍匪可竊取包括農業銀行、招商銀行、廣發銀行、興業銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發銀行、平安銀行、廣州農商銀行、重慶銀行、中國銀行、華夏銀行、湖州銀行、上海銀行等20余家手機銀行的賬號密碼,將其強制結束進程,同時彈出懸浮窗口騙取用戶賬號和密碼。

目前該病毒已感染6萬多用戶,該木馬高度模仿真正的手機銀行軟件,用戶從軟件圖標上很難區分,一旦用戶安裝運行了“山寨手機銀行”,就會被要求用戶輸入手機號、身份證號、銀行賬號、密碼等信息,并把這些信息上傳到黑客指定服務器,盜取了銀行賬號密碼后,立即將用戶賬戶里的資金轉走。

在支付類病毒中,可監聽鍵盤輸入的比例已達到4.52%。在2013年,騰訊手機管家查殺的“鍵盤黑手”(a.privacy.keylogger)也屬于典型的監控誘導類手機支付病毒,該病毒嵌入到輸入法軟件中,可監聽用戶鍵盤輸入,上傳泄露用戶賬戶密碼信息,甚至包括信用卡、網銀等支付資料,并把輸入內容上傳到指定遠端服務器,造成手機用戶有關支付賬號類重要隱私大規模泄露。

騰訊移動安全實驗室專家預測,支付類病毒監聽鍵盤輸入或者于后臺監控手機用戶支付賬號密碼輸入信息的特點正在逐步明朗化,這將成為手機支付類病毒高?;葸M的一個信號。

3.5 集監控、仿冒程序、轉發驗證碼于一身的支付病毒“鬼面銀賊”

支付類病毒發展大致有這么四類特征,但與此同時,支付類病毒又有多種特征融合化發展的趨勢,比如騰訊手機管家在2014年3月底查殺“鬼面銀賊”病毒具備二次打包和仿冒程序的特征,仿冒的程序包括支付寶年度紅包大派發、微云圖集、移動掌上營業廳、中國人民銀行、中國建設銀行、理財管家等十余款應用。

該病毒的另一個巨大危害在于可以監聽用戶手機短信,并可將短信內容轉發至指定手機號碼。目前,很多手機用戶都通過手機號注冊網購賬戶、支付賬戶,并通過手機驗證碼登錄一些網購、理財賬號。

可以看出支付類病毒越來越趨向融合化發展。但由于智能化程度提升,專盯銀行類APP特性,意味著用戶去電子市場下載銀行類APP則極可能下載到“仿冒”的銀行APP,由此會觸發進入黑客操控的支付流程。

 

?由此可以知道,手機支付類病毒從二次打包、仿冒程序、驗證碼轉發、監控誘導一步步深入竊取用戶支付隱私,并逐步走向單個支付類病毒多種特征融合的趨勢,2014年,手機支付安全問題與形勢正變得更加嚴峻。

 

原文來自:騰訊大講堂

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
騰訊大講堂
騰訊人的知識分享圈,聚焦前沿,打造互聯網人的高光時刻。
125篇作品 1501085總閱讀量
08-302103 瀏覽
天下男人都一樣,AI男友也不例外
01-033227 瀏覽
播放量破7億,“尬”式街訪為何能火?
10-055801 瀏覽
保持領先:AI產品經理的競爭對手分析框架
07-0510000 瀏覽
手把手教你寫好一份【解決方案】
12-141623 瀏覽
甄嬛傳們走不通的文化輸出之路,短劇可以嗎?
評論
評論請登錄
  1. 目前還沒評論,等你發揮!