Android 假冒建行网银病毒分析

如今手机网银的使用越来越方便,无论是“双十一”、“XX购物狂欢“,还是转帐、汇款,用户使用手机进行金钱操作都更加频繁,然而,百度安全实验室近期截获到一款新型病毒,不仅伪装成中国建设银行安全控件,私自发送短信并监控用户的短信接收,还隐藏该病毒自身图标,使用户很难发现,并激活设备管理器,让用户很难直接清除。

详细分析:
病毒分类:FakeCCB.A(冒牌网银)

病毒行为危害:该程序伪装成中国建设银行插件,私自发送短信,监控短信接收,并伪装保护自身导致难以卸载。

 

行为分析:
1、 启动后隐藏自身图标,使得用户无法在程序启动栏里找到程序图标,之后启动设备管理器激活提示,当用户选择激活后,程序将很难卸载。
 
图1  点击图标启动病毒后,会隐藏病毒自身图标
 
 
图2  病毒启动后进行的各种恶意行为


2、 制造假冒卸载菜单,迷惑用户选择。在卸载的时候将会提示如图菜单。普通用户一般会选择“卸载程序”,实际上“卸载程序”是该病毒注册的,因此点击“卸载程序”是无法卸载该应用的,应该选择“打包安装程序”才能正常卸载,如图:
 
图3  在卸载的时候欺骗用户,上为正确的卸载方式
 
 
图4  在AndroidManifest.xml中注册假冒卸载程序菜单

3、另外,该病毒还会后台监控用户的收件箱并拦截指定短信:
 
图5  监控用户短信收件箱
 
 
图6  拦截指定短信



转自:http://safe.baidu.com/2013-11/fakeccb.html

你可能感兴趣的:(Android)