Android 假冒建行网银病毒分析

如今手机网银的使用越来越方便，无论是“双十一”、“XX购物狂欢“，还是转帐、汇款，用户使用手机进行金钱操作都更加频繁，然而，百度安全实验室近期截获到一款新型病毒，不仅伪装成中国建设银行安全控件，私自发送短信并监控用户的短信接收，还隐藏该病毒自身图标，使用户很难发现，并激活设备管理器，让用户很难直接清除。
 
详细分析：
病毒分类：FakeCCB.A（冒牌网银）

病毒行为危害：该程序伪装成中国建设银行插件，私自发送短信，监控短信接收，并伪装保护自身导致难以卸载。

 

行为分析：
1、 启动后隐藏自身图标，使得用户无法在程序启动栏里找到程序图标，之后启动设备管理器激活提示，当用户选择激活后，程序将很难卸载。
 
图1  点击图标启动病毒后，会隐藏病毒自身图标
 
 
图2  病毒启动后进行的各种恶意行为

 
2、 制造假冒卸载菜单，迷惑用户选择。在卸载的时候将会提示如图菜单。普通用户一般会选择“卸载程序”，实际上“卸载程序”是该病毒注册的，因此点击“卸载程序”是无法卸载该应用的，应该选择“打包安装程序”才能正常卸载，如图：
 
图3  在卸载的时候欺骗用户，上为正确的卸载方式
 
 
图4  在AndroidManifest.xml中注册假冒卸载程序菜单
 
3、另外，该病毒还会后台监控用户的收件箱并拦截指定短信：
 
图5  监控用户短信收件箱
 
 
图6  拦截指定短信

转自：http://safe.baidu.com/2013-11/fakeccb.html