微信支付大盜--黑色產業鏈

隨著移動互連網的迅速興起，手機移動支付呈現井噴式發展。然而移動支付在便利人們生活的同時,也面臨著越來越多的風險。據百度安全實驗室監控資料顯示，眾多官方的手機網銀用戶端和支付工具都被駭客複製成山寨版本，這些山寨移動支付應用總量超過500款。山寨手機支付應用已成為移動支付最大安全風險之一，嚴重威脅著使用者資金財產安全。

日前，實驗室又截獲了一款名為“支付大盜”的手機支付木馬，該木馬高度模模擬正的“”，誘騙使用者啟用裝置管理員，通過釣魚方式擷取使用者輸入的手機號、社會安全號碼、銀行帳號等資訊。同時該木馬還會在後台截獲使用者的銀行驗證簡訊，並把這些資訊發送到駭客指定的郵箱。

值得特別關注的是該木馬使用了“梆梆加固”的保護來逃避逆向分析和安全廠商病毒檢測。實驗室近期發現了多款病毒均使用第三方加固廠商提供的加殼服務，這已慢慢變成一種趨勢。加固服務提供者需要加強對待加固應用的安全審計，以免被惡意開發人員利用。

 

病毒分析：

 

1、真假支付對比：

     

山寨                                                              正版

 

      

山寨                                                             正版

通過對比我們可以發現，山寨和正版高度相似, 一般使用者根本無法區分。仔細觀察我們發現山寨無法識別使用者輸入的銀行卡號所屬銀行，而正版能識別出研究員輸入的銀行卡號為招商銀行儲蓄卡。

 

2、代碼脫殼對比：

 

梆梆加固過的病毒代碼

 

脫殼後的病毒代碼

病毒加殼後關鍵代碼全部被隱藏起來，給安全研究人員帶來了很大的分析難度。同時給病毒檢測也帶來了一定的難度。

 

3、木馬流程分析：

 

病毒組建功能及互動圖

擷取使用者儲蓄卡或信用卡資訊

 

攔截使用者簡訊

 

 

4、山寨支付黑色產業鏈追蹤：

研究員在截獲的病毒樣本中發現了駭客用於發送使用者銀行資訊的郵箱及密碼。

登入郵箱後發現了大量已經被發送的使用者銀行卡資訊、以及被攔截的簡訊。

 

 

 

攔截的簡訊包括了使用者的銀行及支付驗證資訊

 

根據郵箱中的內送郵件的地址，研究員進行了進一步調查。發現木馬作者複製官方的手機網銀用戶端和支付工具，建立木馬交流群，對木馬進行免殺改造，把木馬出售給包馬人牟利。而這些包馬人通過論壇等渠道進行傳播，擷取使用者銀行資訊後，又有專業的駭客清洗攔截資料，轉移使用者資金。這已經形成了一條完整的黑色產業鏈。

 

攔截馬QQ號碼

攔截馬網站公告

代洗銀行資訊QQ號

 

 

黑色產業鏈

 

百度安全實驗室建議使用者使用安卓手機時，盡量安裝殺毒軟體，並從Google Play及國內知名的第三方的應用市場下載安裝軟體。