OX00 前言

近期发现一经过二次打包伪装成韩国知名软件——“大韩通运快递”的病毒。经分析此类软件为支付类软件，该病毒上传用户账号密码至指定服务器，造成用户财产损失。且此类样本均显示为韩文，容易误导用户，风险性高。 

OX01 病毒原理  

 

软件名：CJ대한통운택배.(cj大韩通运快递.)

病毒名：a.privacy.emial.d

OX02 病毒详情

0X21 病毒描述

该病毒启动后拦截用户短信，并将短信转发给指定号码，泄漏短信中的账户或密码，可能给手机安全造成一定的威胁。

0X22 病毒行为

(1)上传手机联系人信息、收发件箱、通讯录、来电号码至指定服务器

(2)激活设备管理器，隐藏图标，广播监听接收的短信，并上传服务器

(3)通过开启服务线程下载恶意子包，窃取用户隐私和资费消耗

0X23 感染样本数、感染用户数

0X24 相关代码

1）代码树

2）在主函数中启动程序，运行后激活设备管理器，隐藏桌面图标，获取Config类中number来电号码，启动程序核心服务CoreService类。

3）CoreService中开启子线程，分别实现上传通讯录、联网方式至指定服务器，并得到来电号码、imsi对象以及注册广播接收器，通过广播接受下载子包。

4）上传地址http://1**.10. ***.*/kbs.php? ****i&**

5）注册广播以及线程中上传联网方式

6）下载子包安装完成之后删除安装包，造成流量的损失

7）接收器中

当有短信发送至手机时候：

SMSReceiver类广播就获取 短信箱内容并上传短信、电话号码、内容至指定服务器，极其容易盗取用户账户密码以及验证码的信息，造成不可弥补的财产损失。

OX03 病毒子包分析

OX31 该病毒下载并安装四个子包：

"com.korea.kr_nhbank"—NH速度银行

"com.example.kr_hnbank"–N-bank

"com.example.kr_shbank"–新韩银行

"com.example.kr_wrbank" –友利银行

均是命中a.privacy.nhtwoabc，故分析其中一个包，拆包获取其病毒行为。

OX32 子包代码

软件名：원터치개인(个人touch韩元.)

包名：com.example.kr_wrbank

病毒名：a.privacy.nhtwoabc.a

OX33病毒描述

该病毒安装后，在后台监控用户短信记录和照片文件并且上传到指定服务器，给您造成隐私泄露。

OX34 相关代码

1）代码树

2）得到来电号码

3）上传来电号码至服务器http://174.* **.122. ***/bank*******

 

OX04 总结

支付类病毒手段多样，智能化程度提高，仿冒韩国知名app、银行app，一旦点击运行，容易泄露用户个人信息、账户密码，造成隐私的泄露以及不可挽回的财产损失。现如今移动互联网正值上升趋势，各大中小型的电子市场，软件安全性参差不齐，病毒感染率也逐步上升，手机安全更加得到国家的重视。

* 作者：腾讯手机管家（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）