近期實(shí)驗(yàn)室發(fā)現(xiàn)一款“支付寶大盜”病毒。該病毒通過二次打包嵌入到正常應(yīng)用中，病毒運(yùn)行后，自動(dòng)在后臺(tái)偷偷上傳手機(jī)上的所有短信，并且當(dāng)手機(jī)收到新短信時(shí)，該病毒會(huì)判斷短信內(nèi)容中是否包含“支付寶”、“淘寶”、“taobao”、“銀”、“行”、“農(nóng)信”等關(guān)鍵字，如果包含，該病毒將會(huì)屏蔽此類金融支付類短信。

     
    該病毒樣本有以下兩點(diǎn)需要安全分析人員注意：

    1、采用“梆梆加固”加固惡意代碼，防止分析人員靜態(tài)分析和動(dòng)態(tài)調(diào)試。

    該病毒為了逃避逆向分析和安全廠商病毒檢測(cè)，通過“梆梆加固”的保護(hù)來達(dá)到防止逆向分析和動(dòng)態(tài)調(diào)試的目的。加固服務(wù)提供商需要加強(qiáng)對(duì)待加固應(yīng)用的安全審計(jì)，以免被惡意開發(fā)者利用。

    2、惡意代碼+社會(huì)工程學(xué)配合攻擊實(shí)現(xiàn)竊取支付寶資金的目的。

    獲取用戶手機(jī)號(hào)和身份證號(hào)碼

    通過對(duì)惡意代碼調(diào)用邏輯的分析，該病毒針對(duì)的就是支付寶。但是僅僅通過攔截短信時(shí)無法攻破支付寶的安全體系的。

    在對(duì)該惡意樣本分析過程中，安全人員發(fā)現(xiàn)一個(gè)未被調(diào)用的“釣魚”Activity。該Activity通過Webview加載構(gòu)建的Html頁面，誘騙用戶輸入姓名、身份證號(hào)、手機(jī)號(hào)等敏感信息，當(dāng)點(diǎn)擊“立即認(rèn)證”后，該頁即發(fā)送用戶輸入的真實(shí)姓名、手機(jī)號(hào)碼、身份證號(hào)等信息到惡意服務(wù)器。頁面截圖如下：

    但是這部分代碼并未被調(diào)用，身份證號(hào)是支付寶找回登錄密碼和重置支付密碼必須提供的信息，那么惡意攻擊者是如何達(dá)到盜取支付寶錢財(cái)?shù)哪?？接下來安全分析人員接到的一個(gè)來自00909007980打來的電話才解開謎團(tuán)：

    “我這里是人民法院，有您一張法院的傳票，***撥9人工幫助”

    “請(qǐng)告訴我您的姓名，幫助你查詢是否有您的傳票”

    “….”

    “請(qǐng)告訴我您的身份證號(hào)，以確認(rèn)傳票是您本人的”

    “…..”

      "請(qǐng)留下您的常用郵箱.."

     "...."

     這個(gè)詐騙電話的效果和“釣魚Activity”實(shí)現(xiàn)了相同的功能。如果惡意攻擊者通過詐騙電話成功拿到了身份證號(hào)，接下來就可以配合惡意代碼，突破支付寶的安全防線了：