作者：惠傲雪

转载d38K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6K6i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1j5K6y4U0m8E0L8$3u0A6L8r3g2Q4x3V1j5J5x3o6p5@1i4K6u0r3x3e0m8Q4x3V1j5J5x3#2)9J5c8X3q4U0N6r3W2$3K9i4c8&6i4K6g2X3K9r3W2B7j5h3y4C8i4K6g2X3L8$3k6Q4y4h3k6*7k6X3u0Q4x3V1j5`.

近日，360互联网安全中心截获了一个专门窃取支付宝账户信息的恶意木马家族。它是由主包和子包共同配合，劫持支付宝登录页面窃取用户账户信息；另外，该木马还能够接受短信指令控制，执行窃取短信、联系人、通话记录以及修改指定联系人手机号码等行为。造成用户支付宝账户信息及手机内重要隐私信息泄露、资金财产受到重大威胁。

目前，360手机卫士可以全面查杀。

image1

样本权限信息：

主包的权限声明：

image2

子包的权限声明：

image3

功能分析

主包的功能主要分为下面两个方面：

1.释放子包，诱导用户点击安装

image4

2.子包安装之后会诱导卸载主包

image5

子包安装后会先激活设备管理器，并且发送报活短信

image6

同时在后台监控判断运行在顶端的activity是不是支付宝登陆页面，如果是，木马会直掉关闭掉支付宝进程，显示木马伪造的“支付宝登录”页面；

image7

image8

伪造页面极具迷惑性。上面左图为真的支付宝登录页面，右图为伪造的支付宝登录页面。

当用户输入“账户”和“登录密码”后，木马通过发送短信的方式将这些信息发送出去。

image9

image10

木马默认状态下会转发所有短信至指定号码。

image11

同时，木马作者还特意对超长短信内容做了处理。

image12

该木马还具有通过接收短信指令来执行多种恶意行为

image13

具体指令的解析：

image14

我们在分析中发现，该木马会针对用户通讯录中一些类似家人昵称的号码进行专门处理上传

image15

image16

双十一即将来临，360互联网安全中心提醒广大用户在进行手机支付时提高警惕，仔细甄别，同时安装360手机卫士保护您的隐私与财产安全。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课