pos機病毒感染,社會工程學病毒StealAll全線爆破

網上有很多關于pos機病毒感染,社會工程學病毒StealAll全線爆破的知識，也有很多人為大家解答關于pos機病毒感染的問題，今天pos機之家(www.tonybus.com)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機病毒感染

pos機病毒感染

引言：互聯網的世界中，我們都在裸奔。隱私安全問題一直存在也將持續伴隨著我們的生活，與我們休戚相關。數據泄露事件頻發，Jason\'s Deli于1月份披露，犯罪分子通過在該公司不同餐廳的多個POS終端上部署搶占RAM的惡意軟件，獲得的支付卡信息是來自支付卡的磁條全軌數據，記錄數量340萬。網絡安全研究公司Gemini Advisory的4月報告，網絡犯罪分子通過植入商店收銀系統的軟件竊取信用卡和借記卡號碼數據記錄數量500萬……

社會工程學原理引用

“人類天生就容易被蒙騙并且膽小怕事。通過社交工程，你將會把自己體內這兩種性格磨練掉?！痹陔娪啊段沂钦l:沒有絕對安全的系統》有這樣一句經典臺詞。在信息安全中，人是最薄弱的環節，惡意軟件可以通過社會工程學手段進行欺詐用戶以收集信息、入侵系統。本次我們分析的惡意軟件StealAll就使用了假托、暗度陳倉、尾隨等社會工程學手段，達到控制用戶手機，監聽竊取用戶隱私的目的。

惡意行為概述

同過樣本的基本信息，對病毒的社會工程學假托手段可見一斑。

樣本基本信息：

病毒名稱:A.Privacy.StealAll.sf

應用包名：com.android.androidservice

應用安裝名稱：百度

惡意屬性：隱私竊取、遠程控制

用戶安裝病毒應用后，應用通過隱藏自己的桌面Icon,使用戶無法直接使用和卸載，注冊系統啟動、網絡變換、短信接收監聽來啟動應用，并嘗試獲取root權限，在具有root權限的系統中，將自己的應用置為系統應用，并卸載自身用戶應用。在一切準備工作就緒之后，病毒應用通過遠控技術開啟了監聽竊取用戶隱私的行為，竊取的用戶隱私包含:用戶語音通話、短信信息、社交軟件數據、通訊錄、通話記錄、設備信息等。

StealAll惡意行為源碼爆破

在android系統中，執行特定的操作，尤其是涉及隱私的行為都需要相應的權限申請，此樣本中，主要行為為竊取隱私，除了網絡訪問的權限還需要其他的權限，逆向思維，我們可以從其申請權限中了解其行為。

權限列表如圖1所示：

圖1 權限列表

其中的RECORD_AUDIO、READ_CONTACTS、READ_SMS、RECEIVE_SMS、SEND_SMS權限都屬于極其敏感的權限，下面我們就從源碼入手，扒一扒這個樣本。

遠程控制分析

此病毒樣本通過遠程控制，達到變換主控地址，長期監聽用戶手機的目的。我們先用一張圖來描述病毒從安裝到竊取隱私的遠控操作主流程。如圖2所示：

圖2 StealAll遠控操作主流程

從圖中我們可以看到，遠控是通過先獲取用戶手機號碼，上傳到服務器，然后通過udp網絡和短信發送主控ip和指令進行雙通道實現的。我們從源碼層面對其流程進行追蹤。

首先，最基本的是獲取權限和設置監聽，我們從receiver入手，在清單文件中注冊了TimerReceiver、AutoSMS和NetWorkMonitor，如圖3所示：

圖3 注冊廣播

通過系統廣播觸發監聽之后，開啟服務獲取用戶電話號碼發送到服務器，需要先獲取主控ip，通過解密assets文件獲取ip如下圖4所示：

圖4 ip地址

獲取用戶手機號碼，如圖5所示：

圖5 獲取用戶手機號

將用戶手機號和一些設備信息通過udp協議上傳到服務器，如圖6所示：

圖6 上傳用戶手機號

獲取到用戶的手機號碼之后，就會向用戶手機發送短信，而app端通過監聽用戶接受短信的廣播，判斷是否為指令短信，進行攔截和執行遠控操作。

監聽到用戶收到短信時，先根據短信內容是否有標記字段"Your seriala:"，判斷是否為指令短信，如圖7所示：

圖7 遠控短信解析

如果為指令短信則解析指令進行相應操作，并終止短信廣播，使用戶收不到此信息，有需要時，向遠控號碼回復信息。分別如圖8、圖9所示：

圖8 攔截短信解析指令

圖9 終止短信廣播及回復短信

病毒不僅通過短信通道遠控，還使用udp協議，解析網絡響應指令進行遠控操作，解析udp返回數據指令如下圖10所示：

圖10 解析網絡遠控指令

根據對遠控代碼的分析，我們可以得出其指令字典，分為短信指令表和網絡指令表，分別如下表1、表2所示：

表1 短信遠控指令字典

表2 網絡遠控指令字典

隱私竊取分析

上面我們對病毒信息和主控方式進行了描述，對其隱私竊取的框架也已經了然于胸，下面進入核心代碼，對其主要竊取隱私的源碼進行分析。

獲取社交軟件信息

對于經常使用的社交軟件，每天都在產生著大量的我們的個人信息，甚至我們會將自己的一些秘密和重要的賬號信息通過社交軟件告訴我們親密的人，咱們在此不討論第三方社交平臺的安全問題，為了實現用戶體驗等一些因素，社交軟件會將我們的一些社交信息進行本地的存儲。大多數人知道的是SD下的一些照片，視頻和其他一些文件的存儲，那我們的文本聊天記錄存儲在哪呢？會不會被人惡意竊??？

下面我們對此病毒竊取社交軟件信息的行為進行源碼分析。通過上面遠程控制行為我們知道，在接收特定指定之后，會進行微信數據的竊取行為，接收指令后的操作如下圖11所示：

圖11 解析微信數據竊取指令

接收到含有“weixindb”字段的指令之后，就執行了微信數據拷貝操作方法CopyWeiXinData,進入此方法查看其實現形式，如圖12所示：

圖12 微信數據拷貝

從拷貝微信數據的方法中我們看到它欲將微信數據和語音文件等拷貝到SD卡目錄下AndroidService目錄，對，就是目錄“/data/data/com.tencent.mm/MicroMsg”下的文件，這個文件就存儲著你微信的各種數據包含文本聊天的記錄，然后通過解密就可以看到你的聊天了，至于如何解密，網上有很多介紹，在此就不做介紹。但是，了解過移動開發的都知道，要想訪問app文件數據，也就是“/data/data……”目錄，是需要ROOT權限的，那么此病毒又是在哪里獲取ROOT權限的呢？我們對命令執行函數RootCmd進行追蹤。如圖13所示：

圖13 CMD命令

可以看到其有一個RootUtil的獲取root權限的工具類，執行了“zlsu”命令。在服務初始化時，調用了其兩個靜態方法，嘗試獲取手機的root權限。在方法preparezlsu文件中，加載自身的zlsu文件，嘗試將其寫入系統目錄，在此，說是嘗試，因為能不能成功我們不對其進行評判。嘗試寫入系統目錄的源碼和zlsu文件分別如圖14、圖15所示：

圖14 嘗試寫入系統文件

圖15 zlsu文件路徑

監聽用戶通話及獲取用戶通話記錄

在上面的遠控分析中我們知道，此病毒應用可以通過遠程操控開啟用戶和關閉手機的錄音功能，達到竊聽用戶通話的目的，在黑客電影中經常遇到的橋段也可能發生在你的身上，是不是細思極恐？在此病毒應用中錄音的監聽分為兩部分，一是遠控隨時開啟錄音，錄到什么就不確定了；二是注冊電話狀態的監聽，只要你打電話就進行錄音。

首先我們從遠控錄音開始分析，在收到監聽指令之后，病毒應用調用MediaRecorder開啟錄音功能。如圖16所示：

圖16 遠控開啟錄音

在收到結束錄音指令時，關閉錄音，并將錄音狀態和錄音文件保存路徑發送到服務器，之后服務器會通過發送指令獲取用戶文件。源碼如圖17所示：

圖17 遠控結束錄音

其次，我們來分析其設置通話監聽的行為，在服務開啟時，通過TelephonyManager設置通話監聽，在通話狀態改變時，進行錄音操作。設置監聽的源碼如圖18所示：

圖18 設置通話監聽

開啟錄音的方法如圖19所示:

圖19 監聽回調開啟錄音

在用戶通話結束之后，將錄音狀態和錄音文件保存路徑發送到服務器。結束錄音源碼如圖20所示：

圖20 監聽回調結束錄音

獲取用戶手機截屏

獲取手機截屏也是此病毒竊取的隱私很重要的一部分，很多應用程序尤其是涉及用戶金錢利益的應用都會對自身數據進行重重加密和防護，因此即使惡意人員獲取了我們的網絡協議包或者應用本地數據也很難從中獲取私密的信息。但是，我們使用這些金融軟件時都會進行明文展示，不管是賬戶余額還是密碼輸入等，如果第三方應用沒有對防劫持進行安全防護的話，對用戶來說是極其危險的，惡意人員可能通過截屏來獲取你的隱私信息。下面我們就此病毒中的截屏操作和竊取進行源碼分析。

在主服務開始后，會初始化截屏類Screen，如圖21所示：

圖21 初始化截屏類Screen

在Screen的初始化方法Init中，傳入了AssetManager的對象，去加載assets目錄下的文件，在其方法中我們發現一些加密數據，對其進行解密，執行操作及方法源碼如圖22所示：

圖22 加載截屏工具

我們可以看到其加載了一個開源的手機截屏的工具fb2png，并將其copy到tmp目錄下,那么它是在何時調用此工具來截屏的呢？在主服務中還有一個設置的定時器Timer，設定時間執行這些竊取行為，Timer及調用截屏測操作如圖23所示：

圖23 定時器開啟截屏操作

Timer設置定時任務如圖24所示：

圖24 設置定時任務

設置定時之后，就定時截取用戶的手機屏幕，將其存在文件夾下，然后通過命令獲取這些截屏，使用截屏工具fb2png截屏和發送截圖存儲目錄的源碼如圖25所示：

圖25 執行截屏命令

獲取用戶通訊錄

Android系統中用戶的通訊錄是存在在數據庫中，用通訊錄軟件來進行管理的，為了方便第三方應用的使用，它使用了內容提供者對外提供通訊錄內容，那么第三方應用就可以使用特定的URI對其進行解析獲取用戶的通訊錄。此病毒應用中，通過遠程指令“contact”來控制獲取用戶的通訊錄信息。我們來看一下其調用內容解析者對用戶通訊錄進行竊取行為的源碼，如圖26所示：

圖26 竊取用戶通訊錄

獲取用戶短信

Android系統中短信與通訊錄是一個原理，也是存儲在數據庫中使用內容提供者提供給第三方應用使用，在此病毒中，在接收到遠程控制指令“getsms”時，就會執行竊取用戶短信箱中的短信的行為。獲取短信的URI為“content://sms/”，竊取用戶短信信息的源碼如圖27所示：

圖27 竊取用戶短信信息

此病毒惡意行為的主要屬性是隱私竊取，除了以上詳細分析的五大隱私竊取項之外，還有電話號碼、設備信息、用戶使用應用程序信息和設備信息等等，這些信息在android系統中都有相應的API提供，在此，不再進行一一分析。對于此類監聽病毒，與我們的切身利益息息相關，如何才能跳坑？

防護措施與建議

針對StealAll家族類病毒，立足android系統特性，我們給出以下幾種防護措施和建議：

? 建議用戶提高警覺性，使用軟件請到官網下載。到應用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少病毒的侵害。

? 對于大部分使用android6.0以上系統手機的用戶，在安裝應用進行授權時，針對敏感性高又與軟件功能使用無關的權限謹慎授予或拒絕賦權。

? 手機系統不輕易ROOT以免被惡意軟件侵害。

? 用手機權限管理系統，除常用軟件必須權限，可設置為詢問。

? 手機安裝安全防護軟件、定期清理垃圾、查殺木馬病毒。

? 用戶發現感染手機病毒軟件之后，可以向“12321網絡不良與垃圾信息舉報受理中心”或“中國反網絡病毒聯盟”進行舉報，使病毒軟件能夠第一時間被查殺和攔截。

以上就是關于pos機病毒感染,社會工程學病毒StealAll全線爆破的知識，后面我們會繼續為大家整理關于pos機病毒感染的知識，希望能夠幫助到大家！