一、簡(jiǎn)介：

近日，百度安全實(shí)驗(yàn)室發(fā)現(xiàn)一款“偽中國(guó)移動(dòng)客戶(hù)端”病毒，犯罪分子通過(guò)偽基站方式大量發(fā)送偽10086的短信，誘導(dǎo)用戶(hù)點(diǎn)擊釣魚(yú)鏈接;并在釣魚(yú)頁(yè)面誘導(dǎo)用戶(hù)輸入網(wǎng)銀賬號(hào)、網(wǎng)銀密碼、下載安裝“偽中國(guó)移動(dòng)客戶(hù)端”病毒;該病毒會(huì)在后臺(tái)監(jiān)控用戶(hù)短信內(nèi)容，獲取網(wǎng)銀驗(yàn)證碼。 黑客通過(guò)以上方式獲取網(wǎng)銀賬號(hào)、網(wǎng)銀密碼和網(wǎng)銀短信驗(yàn)證碼后，完成竊取網(wǎng)銀資金。

偽基站發(fā)送的偽10086短信

圖1. 偽10086短信

誘導(dǎo)用戶(hù)領(lǐng)取現(xiàn)金紅包界面

圖2.誘導(dǎo)用戶(hù)領(lǐng)取現(xiàn)金紅包

二、釣魚(yú)流程：

圖3. 釣魚(yú)流程圖

三、偽移動(dòng)客戶(hù)端代碼分析

1、該病毒啟動(dòng)后即誘導(dǎo)用戶(hù)激動(dòng)設(shè)備管理器，激活后隱藏圖標(biāo)，導(dǎo)致卸載失敗，且用戶(hù)不易察覺(jué)。 

圖4. 啟動(dòng)界面

2、使用apktool 、dex2jar反編譯偽移動(dòng)客戶(hù)端均失敗;代碼進(jìn)行了APKProtect保護(hù)，阻止了反編譯軟件，難以被反編譯逆向分析。 

圖5. apktool 反編譯失敗 

圖6. dex2jar反編譯失敗

該病毒代碼進(jìn)行了“APKProtect”保護(hù)。 

圖7. APKProtect保護(hù)

3、脫殼后代碼結(jié)構(gòu)： 

圖8

4、點(diǎn)擊應(yīng)用圖標(biāo)啟動(dòng)后，病毒發(fā)送通知短信到13651823521，短信內(nèi)容包含手機(jī)型號(hào)、安裝時(shí)間，并隱藏圖標(biāo)，導(dǎo)致用戶(hù)不易察覺(jué)。 

圖9. 發(fā)送通知短信并隱藏圖標(biāo)

5、該病毒攔截網(wǎng)銀驗(yàn)證碼，并竊取短信轉(zhuǎn)發(fā)到指定號(hào)碼13651823521：

圖10. 竊取短信內(nèi)容

四、目前，這種釣魚(yú)詐騙的方式比較盛行，已經(jīng)有用戶(hù)被盜刷網(wǎng)銀，中國(guó)移動(dòng)也對(duì)這種方式進(jìn)行了警惕說(shuō)明。 

圖11. 中國(guó)移動(dòng)官網(wǎng)提醒用戶(hù)警惕“積分兌換現(xiàn)金”詐騙短信!