SpyEye on Android

 

 

   SpyEye是一类恶意代码，会给用户带来极大的危害，其危害参见参考资料3）

 下面是Man in the Mobile attacks (MitMo/ZitMo)的演化图：

 

以下是Trusteer对SypeEye的分析：  

Stage 1: MITB – web injects module

受害者在访问目标银行时，会得到注入的消息，提示有“新的”安全措施（security measure）

 

点击上面的框框里的“set the application"，会有消息，进一步提示用户安装信息

Stage 2 : Android (malicious) App installation

如果用户按提示去下载回来，并且安装，会很难发现这个app的踪迹。

为了完成安装，用户被要求拨打“325000”，这个恶意代码拦截这个电话并且把“所谓的”激活码显示给用户。

Stage 3: Android secure application is a Trojan

 

所有的SMS消息都会被拦截并且转移到攻击者的C&C,当一个SMS接收到时，会创建一个字符串以备后面使用：

"?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]"

 

 

这些字串将会作为HTTP的GET请求信息，传递给攻击者.在Settings.xml里面定义了传输方法，比如SMS或者HTTP URL。 

 
Stage 4: SMS Spy Command & Control

经过检查，域名"123ffsaf.com"和SpyEye早有关联。以下是域名"123ffsaf.com"SpyEye跟踪者超过3天的历史记录。

 

可以发现以下信息:

 

其中发送者15555215556 和接受者15555215554 是用来模拟攻击的2个Android 模拟器。

 

参考文献：

1）http://blog.eset.com/2011/09/16/android-banking-malware-in-the-wild

2）https://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild

 

3）http://www.cnblogs.com/jecray/articles/2123164.html