SpyEye是一類惡意代碼,會給使用者帶來極大的危害,其危害參見參考資料3)
下面是Man in the Mobile attacks (MitMo/ZitMo)的演化圖:
以下是Trusteer對SypeEye的分析:
Stage 1: MITB – web injects module
受害者在訪問目標銀行時,會得到注入的訊息,提示有“新的”安全措施(security measure)
點擊上面的框框裡的“set the application",會有訊息,進一步提示使用者安裝資訊
Stage 2 : Android (malicious) App installation
如果使用者按提示去下載回來,並且安裝,會很難發現這個app的蹤跡。
為了完成安裝,使用者被要求撥打“325000”,這個惡意代碼攔截這個電話並且把“所謂的”啟用碼顯示給使用者。
Stage 3: Android secure application is a Trojan
所有的SMS訊息都會被攔截並且轉移到攻擊者的C&C,當一個SMS接收到時,會建立一個字串以備後面使用:
"?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]"
這些字串將會作為HTTP的GET請求資訊,傳遞給攻擊者.在Settings.xml裡面定義了傳輸方法,比如SMS或者HTTP URL。
Stage 4: SMS Spy Command & Control
經過檢查,網域名稱"123ffsaf.com"和SpyEye早有關聯。以下是網域名稱"123ffsaf.com"SpyEye跟蹤者超過3天的記錄。
可以發現以下資訊:
其中寄件者15555215556 和接受者15555215554 是用來類比攻擊的2個Android 模擬器。
參考文獻:
1)http://blog.eset.com/2011/09/16/android-banking-malware-in-the-wild
2)https://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild
3)http://www.cnblogs.com/jecray/articles/2123164.html