隨著移動支付的不斷普及,手機支付病毒開始逐漸蔓延。手機病毒是如何在不經意之間盜取我們的錢財呢?本期大講堂將聯合騰訊手機管家首發2014年手機支付安全報告,揭開手機病毒的真實面紗.
手機支付類病毒攻擊的形式和特徵
騰訊移動安全實驗室針對目前已發現的82805個手機支付類病毒的特徵進行歸類統計發現,支付類病毒最大特徵是表現為靜默聯網、刪除簡訊、發送簡訊、讀簡訊、開機自啟動。其中,靜默聯網比例高達61.09%、位居第一,靜默刪除簡訊、靜默發送簡訊、開機自啟動、讀簡訊的病毒行為分別佔比37.3%與36.51%、30.1%、19.74%。分別位居第二和第三、第四、第五。
另外,靜默安裝、靜默卸載、監聽鍵盤輸入、靜默獲取root許可權分別佔比為5.62%、4.77%、4.52%、3.34%。這四個病毒行為可在用戶不知情的情況下,可卸載掉手機端重要軟體(安全軟體),安裝病毒子包或者監聽用戶鍵盤輸入的動作或內容、獲取root許可權、竊取用戶賬號密碼等隱私,可對用戶造成極大危害。目前,支付類病毒感染用戶總數已達到1126.75萬。
騰訊移動安全實驗室通過對支付類病毒進行從特徵共性再進行總結分類,主要分為以下幾種類型:
3.1 二次打包支付類病毒:緊盯一線電商品牌
2013年初,騰訊移動安全實驗室截獲了首款感染國內銀行手機客戶端——中國建設銀行的手機支付病毒a.expense.lockpush(洛克蠕蟲),該病毒通過二次打包的方式把惡意代碼嵌入銀行APP並私自下載軟體和安裝,進一步安裝惡意子包,竊取銀行帳號及密碼,繼而盜走用戶賬號中的資金。該病毒是典型的二次打包類支付類手機病毒。
另外,騰訊手機管家在2013年查殺的「銀行鬼手」(a.expense.tgpush)、「銀行扒手」(a payment googla b)、「銀行毒手」(a.expense.googla.a)等病毒均屬於該類。「銀行鬼手」病毒的特徵是,未經用戶允許,後台私自下載未知軟體,給用戶造成資費消耗和存在流氓行為。
「銀行毒手」、銀行扒手」這類手機支付類病毒通過二次打包,偽裝成正常軟體,在後台運行惡意程序,給用戶造成的危害包括個人手機信息隱 私泄露,私自發送簡訊造成資費消耗,而用戶全不知情。這類手機支付類病毒,給用戶造成的危害性相對較小,但普遍針對銀行類、購物類軟體進行二次打包。比如 在2014年2月,「銀行毒手」通過二次打包偽裝大量一線電商類APP,包括偽裝唯品會、淘寶特賣、聚美優品等軟體誘騙用戶下載。而該病毒可屏蔽回饋信息,上傳手機信息,而這些特徵也可以指向用戶手機支付確認簡訊,對用戶的支付安全構成了一定的威脅。
3.2 高危支付病毒仿冒程序 支付賬號密碼危機重重
目前出現的高危支付類病毒的目的都非常明確,那就是緊盯手機支付軟體與購物軟體、手機銀行類軟體。在手機支付類APP領域,支付寶和淘寶是被支付類病毒緊盯的重點支付購物類APP。
仿冒移動支付購物類APP的支付類病毒中,2013年5月,騰訊手機管家查殺的「偽淘寶」(a.privacy.leekey.b)則是典型病毒。該病毒可通過模擬淘寶官方的用戶登錄頁面收集用戶輸入的淘寶帳號密碼以及支付密碼,通過頁面誘導用戶輸入,並轉發淘寶的帳戶與密碼。
當手機用戶安裝「偽淘寶」木馬客戶端之後,在「偽淘寶」的木馬客戶端登錄頁面,用戶輸入用戶名和密碼,點擊登錄,就會執行發送簡訊的代碼,將用戶的賬戶名和密碼發送到指定的手機號碼13027225522,同時誘騙用戶安裝包名為taobao.account.safety的惡意子包,軟體名稱為「帳號安全服務」。當用戶安裝完該惡意子包后,再次點擊提交會發出廣播,啟動惡意子包服務。
可以看出,該病毒偽裝成淘寶客戶端,騙取用戶淘寶帳號、密碼以及支付密碼發送到指定的手機號碼,同時誘騙用戶安裝惡意子包,造成用戶核心隱私和資金的大規模泄漏。該病毒的存在,使得手機購物、支付安全的風險大增。
3.3 驗證碼成高危支付病毒竊取資金的核心環節
由以上手機支付類病毒行為統計比例可以看出,靜默刪除簡訊、靜默發送簡訊、讀簡訊的病毒行為分別佔比37.3%與36.51%、19.74%。分別位居第二和第三、第五。可以看出簡訊已成為手機支付類病毒木馬的重要竊取目標。
騰訊移動安全實驗室專家提醒:由於支付寶等第三方支付賬號的手機驗證的許可權高於支付寶數字證書許可權,導致任何人通過支付寶捆綁的手機號都可以找回支付寶密碼,刪除和捆綁銀行卡,進入餘額寶進行轉賬,所以一旦手機丟失,第三方支付賬號將全面淪陷。
另一方面,在手機支付的的過程中,手機驗證碼成為極為重要的一環。根據騰訊移動安全實驗室的抽樣統計,19.74%的支付類病毒可以讀取用戶簡訊。這裡的「用戶簡訊」包括用戶支付交易的手機驗證碼,而黑客可通過驗證碼破解用戶的支付賬號。
即如果黑客能竊取到手機驗證碼,那麼再結合竊取到的用戶手機號碼等隱私信息,可以取消數字證書等設置,對支付寶交易的安全造成巨大威脅。而哪些病毒在盯著手機驗證碼?
2013年12月,騰訊移動安全實驗室截獲了一個名為a.remote.eneity(「簡訊盜賊」)的手機病毒,該病毒可轉發手機用戶簡訊(包括驗證碼簡訊)到指定號碼,並攔截用戶簡訊,給用戶商業隱私、支付安全等帶來嚴重威脅。
2013年末,騰訊移動安全實驗室工程師檢測查殺到一個針對淘寶的高危手機病毒——「盜信殭屍」(a.expense.regtaobao.a),該病毒可將中毒手機變成「肉雞」,私自發送簡訊註冊淘寶帳號,同時可攔截屏蔽自動回復系列支付確認簡訊,盜取手機支付確認驗證碼和手機資費,甚至威脅支付寶賬戶餘額。2014年2月,騰訊手機管家已再次查殺到該病毒。
可見「簡訊盜賊」和「盜信殭屍」病毒均可以竊取手機支付驗證碼。「盜信殭屍」病毒的特徵是監控手機支付類驗證碼,通過竊取驗證碼來配合竊取支付里的金額,而騰訊手機管家之前查殺的「簡訊竊賊」、「竊信鬼差」病毒都屬此類。
2014年,騰訊手機管家查殺了一款名為「鬼面銀賊」的支付類病毒,該病毒可偽裝成銀行、金融、理財等熱門應用,騙取用戶下載,一旦安裝激活會竊取用戶銀行賬號密碼、身份證和姓名信息,同時還會私自攔截和上傳用戶簡訊(包括驗證碼簡訊)內容到指定號碼。
這種支付類病毒盜取網銀的手段非常明顯:即轉發用戶簡訊或監控收集支付驗證碼,由於手機用戶都捆綁了網銀、支付寶等,當網銀、支付寶等 發生消費、支付操作的時候,都會收到簡訊提醒,內容涉及消費金額、賬號餘額、支付過程中的簡訊驗證碼等信息。而這類支付類病毒可通過攔截這些涉及到網銀和 支付的簡訊內容來竊取用戶網銀資金,這些病毒的存在,是用戶手機支付的隱憂。
3.4 監控誘導特徵成為手機支付類病毒高危化演進的一個信號
迄今為止最兇悍的監控類手機支付類病毒是騰訊手機管家查殺的「銀行悍匪」(a.rogue.bankrobber),該病毒可以直接監控20多個手機銀行的APP,竊取帳號、密碼等信息。
下面重點詳細講解分析該病毒的特徵與感染情況。
2014年1月10日, 基於騰訊手機管家產品服務的騰訊移動安全實驗室截獲了高危手機支付類手機病毒「銀行悍匪」(a.rogue.bankrobber)。
首先,先總體了解一下a.rogue.bankrobber.[銀行悍匪]的病毒特徵:
「銀行悍匪」病毒由母程序(簡稱:母包)和子程序(簡稱子包)組成,母包中含有惡意子包。母包通常被二次打包到熱門遊戲如100個任務、坦克大戰中,通過遊戲軟體需要安裝資源包等方式誘導用戶安裝和啟動惡意子包。子包是核心的惡意程序,會進一步誘導用戶激活設備管理器,獲取ROOT許可權,刪除SU文件,安裝后隱藏圖標,卸載殺毒軟體,監控指定Activity頁面。
病毒可隱藏在後台竊取用戶手機信息和簡訊信息,同時刪除簡訊和私自發送簡訊,並且竊取用戶的通話記錄,還會根據簡訊命令控制手機,比如,開啟監聽簡訊,竊取通話記錄,屏蔽回執簡訊,刪除所有簡訊,並讀取手機中安裝的購物客戶端(淘寶)和銀行客戶端信息。
目前,銀行悍匪可竊取包括農業銀行、招商銀行、廣發銀行、興業銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發銀行、平安銀行、廣州農商銀行、重慶銀行、中國銀行、華夏銀行、湖州銀行、上海銀行等20餘家手機銀行的賬號密碼,將其強制結束進程,同時彈出懸浮窗口騙取用戶賬號和密碼。
目前該病毒已感染6萬多用戶,該木馬高度模模擬正的手機銀行軟體,用戶從軟體圖標上很難區分,一旦用戶安裝運行了「山寨手機銀行」,就會被要求用戶輸入手機號、身份證號、銀行賬號、密碼等信息,並把這些信息上傳到黑客指定伺服器,盜取了銀行賬號密碼后,立即將用戶賬戶里的資金轉走。
在支付類病毒中,可監聽鍵盤輸入的比例已達到4.52%。在2013年,騰訊手機管家查殺的「鍵盤黑手」(a.privacy.keylogger)也屬於典型的監控誘導類手機支付病毒,該病毒嵌入到輸入法軟體中,可監聽用戶鍵盤輸入,上傳泄露用戶賬戶密碼信息,甚至包括信用卡、網銀等支付資料,並把輸入內容上傳到指定遠端伺服器,造成手機用戶有關支付賬號類重要隱私大規模泄露。
騰訊移動安全實驗室專家預測,支付類病毒監聽鍵盤輸入或者於後台監控手機用戶支付賬號密碼輸入信息的特點正在逐步明朗化,這將成為手機支付類病毒高危化演進的一個信號。
3.5 集監控、仿冒程序、轉發驗證碼於一身的支付病毒「鬼面銀賊」
支付類病毒發展大致有這麼四類特徵,但與此同時,支付類病毒又有多種特徵融合化發展的趨勢,比如騰訊手機管家在2014年3月底查殺「鬼面銀賊」病毒具備二次打包和仿冒程序的特徵,仿冒的程序包括支付寶年度紅包大派發、微雲圖集、移動掌上營業廳、中國人民銀行、中國建設銀行、理財管家等十餘款應用。
該病毒的另一個巨大危害在於可以監聽用戶手機簡訊,並可將簡訊內容轉發至指定手機號碼。目前,很多手機用戶都通過手機號註冊網購賬戶、支付賬戶,並通過手機驗證碼登錄一些網購、理財賬號。
可以看出支付類病毒越來越趨向融合化發展。但由於智能化程度提升,專盯銀行類APP特性,意味著用戶去電子市場下載銀行類APP則極可能下載到「仿冒」的銀行APP,由此會觸發進入黑客操控的支付流程。
由此可以知道,手機支付類病毒從二次打包、仿冒程序、驗證碼轉發、監控誘導一步步深入竊取用戶支付隱私,並逐步走向單個支付類病毒多種特徵融合的趨勢,2014年,手機支付安全問題與形勢正變得更加嚴峻。
原文來自:騰訊大講堂