SpyEye on Android

 

 

   SpyEye是一類惡意代碼，會給使用者帶來極大的危害，其危害參見參考資料3）

 下面是Man in the Mobile attacks (MitMo/ZitMo)的演化圖：

 

以下是Trusteer對SypeEye的分析：  

Stage 1: MITB – web injects module

受害者在訪問目標銀行時，會得到注入的訊息，提示有“新的”安全措施（security measure）

 

點擊上面的框框裡的“set the application"，會有訊息，進一步提示使用者安裝資訊

Stage 2 : Android (malicious) App installation

如果使用者按提示去下載回來，並且安裝，會很難發現這個app的蹤跡。

為了完成安裝，使用者被要求撥打“325000”，這個惡意代碼攔截這個電話並且把“所謂的”啟用碼顯示給使用者。

Stage 3: Android secure application is a Trojan

 

所有的SMS訊息都會被攔截並且轉移到攻擊者的C&C,當一個SMS接收到時，會建立一個字串以備後面使用：

"?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]"

 

 

這些字串將會作為HTTP的GET請求資訊，傳遞給攻擊者.在Settings.xml裡面定義了傳輸方法，比如SMS或者HTTP URL。 

 
Stage 4: SMS Spy Command & Control

經過檢查，網域名稱"123ffsaf.com"和SpyEye早有關聯。以下是網域名稱"123ffsaf.com"SpyEye跟蹤者超過3天的記錄。

 

可以發現以下資訊:

 

其中寄件者15555215556 和接受者15555215554 是用來類比攻擊的2個Android 模擬器。

 

參考文獻：

1）http://blog.eset.com/2011/09/16/android-banking-malware-in-the-wild

2）https://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild

 

3）http://www.cnblogs.com/jecray/articles/2123164.html