"伪中国移动客户端"--伪基站诈骗

一、简介：

 

近日，百度安全实验室发现一款“伪中国移动客户端”病毒，犯罪分子通过伪基站方式大量发送伪10086的短信，诱导用户点击钓鱼链接；并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒；该病毒会在后台监控用户短信内容，获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后，完成窃取网银资金。

 

伪基站发送的伪10086短信

 

图1. 伪10086短信

 

诱导用户领取现金红包界面

 

图2.诱导用户领取现金红包

 

二、钓鱼流程：

 

 
 

图3. 钓鱼流程图

 

 

 

三、伪移动客户端代码分析

 

1、该病毒启动后即诱导用户激动设备管理器，激活后隐藏图标，导致卸载失败，且用户不易察觉。

 

图4. 启动界面

 

 

2、使用apktool 、dex2jar反编译伪移动客户端均失败；代码进行了APKProtect保护，阻止了反编译软件，难以被反编译逆向分析。
 

 

图5. apktool 反编译失败

 

图6. dex2jar反编译失败

 
该病毒代码进行了“APKProtect”保护。

 

图7. APKProtect保护

 

3、脱壳后代码结构：

 

图8

 

4、点击应用图标启动后，病毒发送通知短信到13651823521，短信内容包含手机型号、安装时间，并隐藏图标，导致用户不易察觉。

 

图9. 发送通知短信并隐藏图标

 

5、该病毒拦截网银验证码，并窃取短信转发到指定号码13651823521：

 

图10. 窃取短信内容

 

四、目前，这种钓鱼诈骗的方式比较盛行，已经有用户被盗刷网银，中国移动也对这种方式进行了警惕说明。

 

       

图11.    中国移动官网提醒用户警惕“积分兑换现金”诈骗短信！