新闻链接：975K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0u0U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6m8M7Y4c8A6j5$3I4W2i4K6u0r3x3U0l9I4x3K6p5I4i4K6u0r3x3U0f1&6x3e0j5$3i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间：2013-11-22
新闻正文：
如今手机网银的使用越来越方便，无论是“双十一”、“XX购物狂欢“，还是转帐、汇款，用户使用手机进行金钱操作都更加频繁，然而，百度安全实验室近期截获到一款新型病毒，不仅伪装成中国建设银行安全控件，私自发送短信并监控用户的短信接收，还隐藏该病毒自身图标，使用户很难发现，并激活设备管理器，让用户很难直接清除。
 
详细分析：
病毒分类：FakeCCB.A（冒牌网银）


病毒行为危害：该程序伪装成中国建设银行插件，私自发送短信，监控短信接收，并伪装保护自身导致难以卸载。

行为分析：
1、 启动后隐藏自身图标，使得用户无法在程序启动栏里找到程序图标，之后启动设备管理器激活提示，当用户选择激活后，程序将很难卸载。

图1  点击图标启动病毒后，会隐藏病毒自身图标


图2  病毒启动后进行的各种恶意行为

 
2、 制造假冒卸载菜单，迷惑用户选择。在卸载的时候将会提示如图菜单。普通用户一般会选择“卸载程序”，实际上“卸载程序”是该病毒注册的，因此点击“卸载程序”是无法卸载该应用的，应该选择“打包安装程序”才能正常卸载，如图：

图3  在卸载的时候欺骗用户，上为正确的卸载方式


图4  在AndroidManifest.xml中注册假冒卸载程序菜单
 
3、另外，该病毒还会后台监控用户的收件箱并拦截指定短信：

图5  监控用户短信收件箱

d6dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4S2k6X3g2Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4N6H3i4K6u0V1j5$3!0F1N6r3g2F1N6q4)9J5c8Y4g2H3L8r3!0S2k6s2y4Q4x3V1k6%4M7q4)9J5k6r3c8A6M7%4m8D9j5i4W2Q4x3X3c8V1j5i4c8S2i4K6u0W2M7r3S2H3i4K6y4r3k6X3W2D9k6h3&6S2L8h3g2Q4x3@1b7I4x3K6R3@1z5o6b7#2z5e0p5I4k6X3q4C8k6h3y4U0j5W2)9#2k6U0k6Q4x3X3g2H3L8X3N6Q4x3U0k6@1P5i4m8W2i4K6y4p5K9h3#2S2k6$3g2Q4x3U0f1J5c8Y4m8F1k6#2)9J5y4Y4N6A6k6s2c8Z5i4K6y4p5y4K6M7%4i4K6t1$3K9r3g2A6k6$3S2@1i4K6y4p5x3U0t1@1
图6  拦截指定短信

[培训]科锐逆向工程师培训第53期2025年7月8日开班！