網(wǎng)上有很多關(guān)于pos機(jī)病毒感染,社會(huì)工程學(xué)病毒StealAll全線爆破的知識(shí)，也有很多人為大家解答關(guān)于pos機(jī)病毒感染的問題，今天pos機(jī)之家(m.dsth100338.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來看下吧!

本文目錄一覽：

1、pos機(jī)病毒感染

pos機(jī)病毒感染

引言：互聯(lián)網(wǎng)的世界中，我們都在裸奔。隱私安全問題一直存在也將持續(xù)伴隨著我們的生活，與我們休戚相關(guān)。數(shù)據(jù)泄露事件頻發(fā)，Jason\'s Deli于1月份披露，犯罪分子通過在該公司不同餐廳的多個(gè)POS終端上部署搶占RAM的惡意軟件，獲得的支付卡信息是來自支付卡的磁條全軌數(shù)據(jù)，記錄數(shù)量340萬。網(wǎng)絡(luò)安全研究公司Gemini Advisory的4月報(bào)告，網(wǎng)絡(luò)犯罪分子通過植入商店收銀系統(tǒng)的軟件竊取信用卡和借記卡號(hào)碼數(shù)據(jù)記錄數(shù)量500萬……

社會(huì)工程學(xué)原理引用

“人類天生就容易被蒙騙并且膽小怕事。通過社交工程，你將會(huì)把自己體內(nèi)這兩種性格磨練掉。”在電影《我是誰:沒有絕對安全的系統(tǒng)》有這樣一句經(jīng)典臺(tái)詞。在信息安全中，人是最薄弱的環(huán)節(jié)，惡意軟件可以通過社會(huì)工程學(xué)手段進(jìn)行欺詐用戶以收集信息、入侵系統(tǒng)。本次我們分析的惡意軟件StealAll就使用了假托、暗度陳倉、尾隨等社會(huì)工程學(xué)手段，達(dá)到控制用戶手機(jī)，監(jiān)聽竊取用戶隱私的目的。

惡意行為概述

同過樣本的基本信息，對病毒的社會(huì)工程學(xué)假托手段可見一斑。

樣本基本信息：

病毒名稱:A.Privacy.StealAll.sf

應(yīng)用包名：com.android.androidservice

應(yīng)用安裝名稱：百度

惡意屬性：隱私竊取、遠(yuǎn)程控制

用戶安裝病毒應(yīng)用后，應(yīng)用通過隱藏自己的桌面Icon,使用戶無法直接使用和卸載，注冊系統(tǒng)啟動(dòng)、網(wǎng)絡(luò)變換、短信接收監(jiān)聽來啟動(dòng)應(yīng)用，并嘗試獲取root權(quán)限，在具有root權(quán)限的系統(tǒng)中，將自己的應(yīng)用置為系統(tǒng)應(yīng)用，并卸載自身用戶應(yīng)用。在一切準(zhǔn)備工作就緒之后，病毒應(yīng)用通過遠(yuǎn)控技術(shù)開啟了監(jiān)聽竊取用戶隱私的行為，竊取的用戶隱私包含:用戶語音通話、短信信息、社交軟件數(shù)據(jù)、通訊錄、通話記錄、設(shè)備信息等。

StealAll惡意行為源碼爆破

在android系統(tǒng)中，執(zhí)行特定的操作，尤其是涉及隱私的行為都需要相應(yīng)的權(quán)限申請，此樣本中，主要行為為竊取隱私，除了網(wǎng)絡(luò)訪問的權(quán)限還需要其他的權(quán)限，逆向思維，我們可以從其申請權(quán)限中了解其行為。

權(quán)限列表如圖1所示：

圖1 權(quán)限列表

其中的RECORD_AUDIO、READ_CONTACTS、READ_SMS、RECEIVE_SMS、SEND_SMS權(quán)限都屬于極其敏感的權(quán)限，下面我們就從源碼入手，扒一扒這個(gè)樣本。

遠(yuǎn)程控制分析

此病毒樣本通過遠(yuǎn)程控制，達(dá)到變換主控地址，長期監(jiān)聽用戶手機(jī)的目的。我們先用一張圖來描述病毒從安裝到竊取隱私的遠(yuǎn)控操作主流程。如圖2所示：

圖2 StealAll遠(yuǎn)控操作主流程

從圖中我們可以看到，遠(yuǎn)控是通過先獲取用戶手機(jī)號(hào)碼，上傳到服務(wù)器，然后通過udp網(wǎng)絡(luò)和短信發(fā)送主控ip和指令進(jìn)行雙通道實(shí)現(xiàn)的。我們從源碼層面對其流程進(jìn)行追蹤。

首先，最基本的是獲取權(quán)限和設(shè)置監(jiān)聽，我們從receiver入手，在清單文件中注冊了TimerReceiver、AutoSMS和NetWorkMonitor，如圖3所示：

圖3 注冊廣播

通過系統(tǒng)廣播觸發(fā)監(jiān)聽之后，開啟服務(wù)獲取用戶電話號(hào)碼發(fā)送到服務(wù)器，需要先獲取主控ip，通過解密assets文件獲取ip如下圖4所示：

圖4 ip地址

獲取用戶手機(jī)號(hào)碼，如圖5所示：

圖5 獲取用戶手機(jī)號(hào)

將用戶手機(jī)號(hào)和一些設(shè)備信息通過udp協(xié)議上傳到服務(wù)器，如圖6所示：

圖6 上傳用戶手機(jī)號(hào)

獲取到用戶的手機(jī)號(hào)碼之后，就會(huì)向用戶手機(jī)發(fā)送短信，而app端通過監(jiān)聽用戶接受短信的廣播，判斷是否為指令短信，進(jìn)行攔截和執(zhí)行遠(yuǎn)控操作。

監(jiān)聽到用戶收到短信時(shí)，先根據(jù)短信內(nèi)容是否有標(biāo)記字段"Your seriala:"，判斷是否為指令短信，如圖7所示：

圖7 遠(yuǎn)控短信解析

如果為指令短信則解析指令進(jìn)行相應(yīng)操作，并終止短信廣播，使用戶收不到此信息，有需要時(shí)，向遠(yuǎn)控號(hào)碼回復(fù)信息。分別如圖8、圖9所示：

圖8 攔截短信解析指令

圖9 終止短信廣播及回復(fù)短信

病毒不僅通過短信通道遠(yuǎn)控，還使用udp協(xié)議，解析網(wǎng)絡(luò)響應(yīng)指令進(jìn)行遠(yuǎn)控操作，解析udp返回?cái)?shù)據(jù)指令如下圖10所示：

圖10 解析網(wǎng)絡(luò)遠(yuǎn)控指令

根據(jù)對遠(yuǎn)控代碼的分析，我們可以得出其指令字典，分為短信指令表和網(wǎng)絡(luò)指令表，分別如下表1、表2所示：

表1 短信遠(yuǎn)控指令字典

表2 網(wǎng)絡(luò)遠(yuǎn)控指令字典

隱私竊取分析

上面我們對病毒信息和主控方式進(jìn)行了描述，對其隱私竊取的框架也已經(jīng)了然于胸，下面進(jìn)入核心代碼，對其主要竊取隱私的源碼進(jìn)行分析。

獲取社交軟件信息

對于經(jīng)常使用的社交軟件，每天都在產(chǎn)生著大量的我們的個(gè)人信息，甚至我們會(huì)將自己的一些秘密和重要的賬號(hào)信息通過社交軟件告訴我們親密的人，咱們在此不討論第三方社交平臺(tái)的安全問題，為了實(shí)現(xiàn)用戶體驗(yàn)等一些因素，社交軟件會(huì)將我們的一些社交信息進(jìn)行本地的存儲(chǔ)。大多數(shù)人知道的是SD下的一些照片，視頻和其他一些文件的存儲(chǔ)，那我們的文本聊天記錄存儲(chǔ)在哪呢？會(huì)不會(huì)被人惡意竊??？

下面我們對此病毒竊取社交軟件信息的行為進(jìn)行源碼分析。通過上面遠(yuǎn)程控制行為我們知道，在接收特定指定之后，會(huì)進(jìn)行微信數(shù)據(jù)的竊取行為，接收指令后的操作如下圖11所示：

圖11 解析微信數(shù)據(jù)竊取指令

接收到含有“weixindb”字段的指令之后，就執(zhí)行了微信數(shù)據(jù)拷貝操作方法CopyWeiXinData,進(jìn)入此方法查看其實(shí)現(xiàn)形式，如圖12所示：

圖12 微信數(shù)據(jù)拷貝

從拷貝微信數(shù)據(jù)的方法中我們看到它欲將微信數(shù)據(jù)和語音文件等拷貝到SD卡目錄下AndroidService目錄，對，就是目錄“/data/data/com.tencent.mm/MicroMsg”下的文件，這個(gè)文件就存儲(chǔ)著你微信的各種數(shù)據(jù)包含文本聊天的記錄，然后通過解密就可以看到你的聊天了，至于如何解密，網(wǎng)上有很多介紹，在此就不做介紹。但是，了解過移動(dòng)開發(fā)的都知道，要想訪問app文件數(shù)據(jù)，也就是“/data/data……”目錄，是需要ROOT權(quán)限的，那么此病毒又是在哪里獲取ROOT權(quán)限的呢？我們對命令執(zhí)行函數(shù)RootCmd進(jìn)行追蹤。如圖13所示：

圖13 CMD命令

可以看到其有一個(gè)RootUtil的獲取root權(quán)限的工具類，執(zhí)行了“zlsu”命令。在服務(wù)初始化時(shí)，調(diào)用了其兩個(gè)靜態(tài)方法，嘗試獲取手機(jī)的root權(quán)限。在方法preparezlsu文件中，加載自身的zlsu文件，嘗試將其寫入系統(tǒng)目錄，在此，說是嘗試，因?yàn)槟懿荒艹晒ξ覀儾粚ζ溥M(jìn)行評判。嘗試寫入系統(tǒng)目錄的源碼和zlsu文件分別如圖14、圖15所示：

圖14 嘗試寫入系統(tǒng)文件

圖15 zlsu文件路徑

監(jiān)聽用戶通話及獲取用戶通話記錄

在上面的遠(yuǎn)控分析中我們知道，此病毒應(yīng)用可以通過遠(yuǎn)程操控開啟用戶和關(guān)閉手機(jī)的錄音功能，達(dá)到竊聽用戶通話的目的，在黑客電影中經(jīng)常遇到的橋段也可能發(fā)生在你的身上，是不是細(xì)思極恐？在此病毒應(yīng)用中錄音的監(jiān)聽分為兩部分，一是遠(yuǎn)控隨時(shí)開啟錄音，錄到什么就不確定了；二是注冊電話狀態(tài)的監(jiān)聽，只要你打電話就進(jìn)行錄音。

首先我們從遠(yuǎn)控錄音開始分析，在收到監(jiān)聽指令之后，病毒應(yīng)用調(diào)用MediaRecorder開啟錄音功能。如圖16所示：

圖16 遠(yuǎn)控開啟錄音

在收到結(jié)束錄音指令時(shí)，關(guān)閉錄音，并將錄音狀態(tài)和錄音文件保存路徑發(fā)送到服務(wù)器，之后服務(wù)器會(huì)通過發(fā)送指令獲取用戶文件。源碼如圖17所示：

圖17 遠(yuǎn)控結(jié)束錄音

其次，我們來分析其設(shè)置通話監(jiān)聽的行為，在服務(wù)開啟時(shí)，通過TelephonyManager設(shè)置通話監(jiān)聽，在通話狀態(tài)改變時(shí)，進(jìn)行錄音操作。設(shè)置監(jiān)聽的源碼如圖18所示：

圖18 設(shè)置通話監(jiān)聽

開啟錄音的方法如圖19所示:

圖19 監(jiān)聽回調(diào)開啟錄音

在用戶通話結(jié)束之后，將錄音狀態(tài)和錄音文件保存路徑發(fā)送到服務(wù)器。結(jié)束錄音源碼如圖20所示：

圖20 監(jiān)聽回調(diào)結(jié)束錄音

獲取用戶手機(jī)截屏

獲取手機(jī)截屏也是此病毒竊取的隱私很重要的一部分，很多應(yīng)用程序尤其是涉及用戶金錢利益的應(yīng)用都會(huì)對自身數(shù)據(jù)進(jìn)行重重加密和防護(hù)，因此即使惡意人員獲取了我們的網(wǎng)絡(luò)協(xié)議包或者應(yīng)用本地?cái)?shù)據(jù)也很難從中獲取私密的信息。但是，我們使用這些金融軟件時(shí)都會(huì)進(jìn)行明文展示，不管是賬戶余額還是密碼輸入等，如果第三方應(yīng)用沒有對防劫持進(jìn)行安全防護(hù)的話，對用戶來說是極其危險(xiǎn)的，惡意人員可能通過截屏來獲取你的隱私信息。下面我們就此病毒中的截屏操作和竊取進(jìn)行源碼分析。

在主服務(wù)開始后，會(huì)初始化截屏類Screen，如圖21所示：

圖21 初始化截屏類Screen

在Screen的初始化方法Init中，傳入了AssetManager的對象，去加載assets目錄下的文件，在其方法中我們發(fā)現(xiàn)一些加密數(shù)據(jù)，對其進(jìn)行解密，執(zhí)行操作及方法源碼如圖22所示：

圖22 加載截屏工具

我們可以看到其加載了一個(gè)開源的手機(jī)截屏的工具fb2png，并將其copy到tmp目錄下,那么它是在何時(shí)調(diào)用此工具來截屏的呢？在主服務(wù)中還有一個(gè)設(shè)置的定時(shí)器Timer，設(shè)定時(shí)間執(zhí)行這些竊取行為，Timer及調(diào)用截屏測操作如圖23所示：

圖23 定時(shí)器開啟截屏操作

Timer設(shè)置定時(shí)任務(wù)如圖24所示：

圖24 設(shè)置定時(shí)任務(wù)

設(shè)置定時(shí)之后，就定時(shí)截取用戶的手機(jī)屏幕，將其存在文件夾下，然后通過命令獲取這些截屏，使用截屏工具fb2png截屏和發(fā)送截圖存儲(chǔ)目錄的源碼如圖25所示：

圖25 執(zhí)行截屏命令

獲取用戶通訊錄

Android系統(tǒng)中用戶的通訊錄是存在在數(shù)據(jù)庫中，用通訊錄軟件來進(jìn)行管理的，為了方便第三方應(yīng)用的使用，它使用了內(nèi)容提供者對外提供通訊錄內(nèi)容，那么第三方應(yīng)用就可以使用特定的URI對其進(jìn)行解析獲取用戶的通訊錄。此病毒應(yīng)用中，通過遠(yuǎn)程指令“contact”來控制獲取用戶的通訊錄信息。我們來看一下其調(diào)用內(nèi)容解析者對用戶通訊錄進(jìn)行竊取行為的源碼，如圖26所示：

圖26 竊取用戶通訊錄

獲取用戶短信

Android系統(tǒng)中短信與通訊錄是一個(gè)原理，也是存儲(chǔ)在數(shù)據(jù)庫中使用內(nèi)容提供者提供給第三方應(yīng)用使用，在此病毒中，在接收到遠(yuǎn)程控制指令“getsms”時(shí)，就會(huì)執(zhí)行竊取用戶短信箱中的短信的行為。獲取短信的URI為“content://sms/”，竊取用戶短信信息的源碼如圖27所示：

圖27 竊取用戶短信信息

此病毒惡意行為的主要屬性是隱私竊取，除了以上詳細(xì)分析的五大隱私竊取項(xiàng)之外，還有電話號(hào)碼、設(shè)備信息、用戶使用應(yīng)用程序信息和設(shè)備信息等等，這些信息在android系統(tǒng)中都有相應(yīng)的API提供，在此，不再進(jìn)行一一分析。對于此類監(jiān)聽病毒，與我們的切身利益息息相關(guān)，如何才能跳坑？

防護(hù)措施與建議

針對StealAll家族類病毒，立足android系統(tǒng)特性，我們給出以下幾種防護(hù)措施和建議：

? 建議用戶提高警覺性，使用軟件請到官網(wǎng)下載。到應(yīng)用商店進(jìn)行下載正版軟件，避免從論壇等下載軟件，可以有效的減少病毒的侵害。

? 對于大部分使用android6.0以上系統(tǒng)手機(jī)的用戶，在安裝應(yīng)用進(jìn)行授權(quán)時(shí)，針對敏感性高又與軟件功能使用無關(guān)的權(quán)限謹(jǐn)慎授予或拒絕賦權(quán)。

? 手機(jī)系統(tǒng)不輕易R(shí)OOT以免被惡意軟件侵害。

? 用手機(jī)權(quán)限管理系統(tǒng)，除常用軟件必須權(quán)限，可設(shè)置為詢問。

? 手機(jī)安裝安全防護(hù)軟件、定期清理垃圾、查殺木馬病毒。

? 用戶發(fā)現(xiàn)感染手機(jī)病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心”或“中國反網(wǎng)絡(luò)病毒聯(lián)盟”進(jìn)行舉報(bào)，使病毒軟件能夠第一時(shí)間被查殺和攔截。

以上就是關(guān)于pos機(jī)病毒感染,社會(huì)工程學(xué)病毒StealAll全線爆破的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于pos機(jī)病毒感染的知識(shí)，希望能夠幫助到大家！