■文/天津市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)案件支隊(duì)，工程師，碩士 劉鑫天津市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)案件支隊(duì)，工程師、碩士 李 維

淺析新型Android手機(jī)木馬病毒功能及實(shí)現(xiàn)盜刷銀行卡過程

■文/天津市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)案件支隊(duì)，工程師，碩士 劉鑫
天津市公安局網(wǎng)絡(luò)安全保衛(wèi)總隊(duì)案件支隊(duì)，工程師、碩士 李 維

目前Android手機(jī)木馬病毒日益猖獗，經(jīng)常有犯罪團(tuán)伙利用向目標(biāo)植入手機(jī)木馬病毒，獲取公民個(gè)人信息，進(jìn)而對目標(biāo)銀行卡進(jìn)行盜刷。本文利用dex2jar、apktool等工具對木馬病毒文件源代碼進(jìn)行解析，通過源代碼分析，分析木馬主要功能及犯罪團(tuán)伙如何利用木馬盜取目標(biāo)銀行卡資金。

Android手機(jī)木馬 APK文件 木馬提取

隨著科技的迅猛發(fā)展，智能手機(jī)與人們的日常生活緊密相連，人們可以通過手機(jī)進(jìn)行購物、辦公、社交、視頻聊天等。隨之衍生出與手機(jī)相關(guān)的違法犯罪活動(dòng)，手機(jī)惡意軟件扮演了重要角色，其中最為明顯的就是手機(jī)木馬病毒。

據(jù)最新的案件顯示，新型手機(jī)木馬病毒常以手機(jī)短信息為載體，以鏈接的方式隱藏在短信息當(dāng)中。比如：“***，你的汽車存在違章，請及時(shí)到##交付罰款”、“***家長您好！新學(xué)期計(jì)劃及開學(xué)時(shí)間為##，請各位家長提前做好返校準(zhǔn)備”（其中“#”表示含有木馬病毒的鏈接）。收信息者容易被迷惑，點(diǎn)擊短信息中含有的鏈接，將偽裝后的木馬病毒下載安裝至手機(jī)。一旦成功植入，木馬病毒會自動(dòng)隱藏，無法在手機(jī)的應(yīng)用列表中查看，隨后會遍歷手機(jī)內(nèi)各類數(shù)據(jù)，并將受害人姓名、身份證號碼、銀行卡號等數(shù)據(jù)發(fā)送到犯罪嫌疑人預(yù)設(shè)好的手機(jī)號碼及電子郵箱，犯罪團(tuán)伙利用這些數(shù)據(jù)開展的盜刷銀行卡犯罪活動(dòng)。本文從Android手機(jī)木馬病毒源代碼入手，解析出手機(jī)木馬病毒的主要功能以及工作原理，刻畫出從植入木馬到盜刷銀行卡的過程。

1 手機(jī)木馬病毒的提取

如前文所述，短信息植入方式是時(shí)下最為主流的手機(jī)木馬病毒植入方式。犯罪嫌疑人利用“偽基站”針對某一地區(qū)盲發(fā)大量短信息，短信息內(nèi)容花樣百出，多為“聚會照片”、“孩子成績”、“交通違章”、“領(lǐng)導(dǎo)文件”等，最終目標(biāo)是進(jìn)行盜取受害人銀行卡資金。

分析Android手機(jī)木馬病毒功能，須提取手機(jī)木馬病毒，分析提取源代碼，。提取主要方法有兩種，一是在瀏覽器中輸入短信息中包含的URL，下載保存*.apk文件（*為文件名稱）；二是通過受害人手機(jī)提取木馬病毒，可嘗試在一般的存儲位置system或者download文件夾中提取，如果木馬病毒已刪除，可使用恢復(fù)數(shù)據(jù)軟件或?qū)Ｓ迷O(shè)備提取。日常案例中提取出木馬病毒文件圖標(biāo)如下：

手機(jī)木馬病毒文件圖標(biāo)

2 手機(jī)木馬病毒的功能分析

名為Ttxx的Android手機(jī)木馬病毒程序是以APK文件形式存在，這里借助apktool工具對該文件進(jìn)行反編譯后，我們對其中的“Manifest.xml”和“classes.dex”做重點(diǎn)分析。

2.1 “Manifest.xml”文件

“Manifest.xml”中記載了定義的全部功能，重要的有：

（1）啟動(dòng)服務(wù)

（2）獲取手機(jī)IMEI

（3）添加View

（4）獲取郵件Session

（5）獲取本機(jī)號碼

（6）讀取文件

（7）登錄郵箱

（8）發(fā)送短信息

（9）發(fā)送郵件

（10）讀取短信息

（11）隱藏圖標(biāo)

2.2“classes.dex”文件

利用dex2jar工具對“classes.dex”文件進(jìn)行反編譯后，我們發(fā)現(xiàn)文件記載了木馬病毒的權(quán)限，具體為：

（1）android_permission.READ_SMS 閱讀短信息

（2）android_permission.WRITE_SMS 寫短信息

（3）android_permission.SEND_SMS 發(fā)送短信息

（4）android_permission.READ_CONTACTS 讀取通訊錄信息

（5）android_permission.ACCESS_NETWORK_ STATE 讀取網(wǎng)絡(luò)狀態(tài)

2.3 具體代碼分析

對該木馬整個(gè)代碼進(jìn)行分析，發(fā)現(xiàn)其核心功能代碼如下：

（1）獲取通訊錄

（2）獲取短信息

（3）回傳數(shù)據(jù)使用的電子郵箱、郵箱密碼和手機(jī)號碼等信息

（4）向郵箱回傳通訊錄

（5）向郵箱回傳短信息

經(jīng)代碼分析，發(fā)現(xiàn)該Android手機(jī)木馬病毒核心功能是獲取被植入目標(biāo)的通訊錄和手機(jī)短信息，將數(shù)據(jù)回傳至木馬攜帶的郵箱地址29*@*f.com，實(shí)時(shí)攔截短信息，并回傳至木馬攜帶的手機(jī)號182****2353。

3 手機(jī)木馬盜刷銀行卡分析

通過對這款手機(jī)Android木馬病毒進(jìn)行分析，發(fā)現(xiàn)該木馬的主要目的是獲取公民的個(gè)人信息，犯罪分子通過木馬攜帶的電子郵箱獲取到通訊錄和歷史短信息，即姓名、身份證號碼、銀行卡號碼及手機(jī)號碼等，進(jìn)一步，犯罪嫌疑人會分析目標(biāo)銀行卡的網(wǎng)上支付方式，利用木馬病毒能夠攔截實(shí)時(shí)短信息的功能，獲取網(wǎng)上支付短信息驗(yàn)證碼，從而進(jìn)行盜刷銀行卡活動(dòng)。

4 手機(jī)木馬病毒的防范

用戶作為手機(jī)使用者，應(yīng)加強(qiáng)防范意識，建議廣大用戶做到以下幾點(diǎn)：一是不要輕易點(diǎn)擊短信息中的下載鏈接；二是及時(shí)更新Android手機(jī)的版本，目前Android手機(jī)木馬病毒大多數(shù)針對Android 4.4及以下版本有效；三是下載安裝APK前，請使用專業(yè)的殺毒、防護(hù)軟件查殺病毒；四是不在陌生、未知的WIFI環(huán)境下上網(wǎng)。

5 結(jié)束語

手機(jī)木馬病毒數(shù)量已呈幾何級增長，傳播的途徑和范圍也與日俱增，對手機(jī)木馬病毒的防范不僅需要引起人們的高度重視，同時(shí)要加強(qiáng)社會監(jiān)管和新的防范技術(shù)的開發(fā)，共同營造安全的網(wǎng)絡(luò)環(huán)境。

[1]朱雪梅 Android木馬攻擊與防范技術(shù)的研究[D]杭州電子科技大學(xué)，2013

[2]戴威、鄭滔 基于Android權(quán)限機(jī)制的動(dòng)態(tài)隱私保護(hù)模型[J]計(jì)算機(jī)應(yīng)用研究2012，5（9）：3478-3412

[3]楊豐盛Android應(yīng)用開發(fā)揭秘[M] 北京：機(jī)械工業(yè)出版社 2010：155-220

[4]李志鋒，林恩華 智能手機(jī)的數(shù)據(jù)業(yè)務(wù)分析手段[J]科技情報(bào)開發(fā)與經(jīng)濟(jì)，2011（07）