浅析新型Android手机木马病毒功能及实现盗刷银行卡过程

■文/天津市公安局网络安全保卫总队案件支队，工程师，硕士 刘鑫天津市公安局网络安全保卫总队案件支队，工程师、硕士 李 维

浅析新型Android手机木马病毒功能及实现盗刷银行卡过程

■文/天津市公安局网络安全保卫总队案件支队，工程师，硕士 刘鑫
天津市公安局网络安全保卫总队案件支队，工程师、硕士 李 维

目前Android手机木马病毒日益猖獗，经常有犯罪团伙利用向目标植入手机木马病毒，获取公民个人信息，进而对目标银行卡进行盗刷。本文利用dex2jar、apktool等工具对木马病毒文件源代码进行解析，通过源代码分析，分析木马主要功能及犯罪团伙如何利用木马盗取目标银行卡资金。

Android手机木马 APK文件 木马提取

随着科技的迅猛发展，智能手机与人们的日常生活紧密相连，人们可以通过手机进行购物、办公、社交、视频聊天等。随之衍生出与手机相关的违法犯罪活动，手机恶意软件扮演了重要角色，其中最为明显的就是手机木马病毒。

据最新的案件显示，新型手机木马病毒常以手机短信息为载体，以链接的方式隐藏在短信息当中。比如：“***，你的汽车存在违章，请及时到##交付罚款”、“***家长您好！新学期计划及开学时间为##，请各位家长提前做好返校准备”（其中“#”表示含有木马病毒的链接）。收信息者容易被迷惑，点击短信息中含有的链接，将伪装后的木马病毒下载安装至手机。一旦成功植入，木马病毒会自动隐藏，无法在手机的应用列表中查看，随后会遍历手机内各类数据，并将受害人姓名、身份证号码、银行卡号等数据发送到犯罪嫌疑人预设好的手机号码及电子邮箱，犯罪团伙利用这些数据开展的盗刷银行卡犯罪活动。本文从Android手机木马病毒源代码入手，解析出手机木马病毒的主要功能以及工作原理，刻画出从植入木马到盗刷银行卡的过程。

1 手机木马病毒的提取

如前文所述，短信息植入方式是时下最为主流的手机木马病毒植入方式。犯罪嫌疑人利用“伪基站”针对某一地区盲发大量短信息，短信息内容花样百出，多为“聚会照片”、“孩子成绩”、“交通违章”、“领导文件”等，最终目标是进行盗取受害人银行卡资金。

分析Android手机木马病毒功能，须提取手机木马病毒，分析提取源代码，。提取主要方法有两种，一是在浏览器中输入短信息中包含的URL，下载保存*.apk文件（*为文件名称）；二是通过受害人手机提取木马病毒，可尝试在一般的存储位置system或者download文件夹中提取，如果木马病毒已删除，可使用恢复数据软件或专用设备提取。日常案例中提取出木马病毒文件图标如下：

手机木马病毒文件图标

2 手机木马病毒的功能分析

名为Ttxx的Android手机木马病毒程序是以APK文件形式存在，这里借助apktool工具对该文件进行反编译后，我们对其中的“Manifest.xml”和“classes.dex”做重点分析。

2.1 “Manifest.xml”文件

“Manifest.xml”中记载了定义的全部功能，重要的有：

（1）启动服务

（2）获取手机IMEI

（3）添加View

（4）获取邮件Session

（5）获取本机号码

（6）读取文件

（7）登录邮箱

（8）发送短信息

（9）发送邮件

（10）读取短信息

（11）隐藏图标

2.2“classes.dex”文件

利用dex2jar工具对“classes.dex”文件进行反编译后，我们发现文件记载了木马病毒的权限，具体为：

（1）android_permission.READ_SMS 阅读短信息

（2）android_permission.WRITE_SMS 写短信息

（3）android_permission.SEND_SMS 发送短信息

（4）android_permission.READ_CONTACTS 读取通讯录信息

（5）android_permission.ACCESS_NETWORK_ STATE 读取网络状态

2.3 具体代码分析

对该木马整个代码进行分析，发现其核心功能代码如下：

（1）获取通讯录

（2）获取短信息

（3）回传数据使用的电子邮箱、邮箱密码和手机号码等信息

（4）向邮箱回传通讯录

（5）向邮箱回传短信息

经代码分析，发现该Android手机木马病毒核心功能是获取被植入目标的通讯录和手机短信息，将数据回传至木马携带的邮箱地址29*@*f.com，实时拦截短信息，并回传至木马携带的手机号182****2353。

3 手机木马盗刷银行卡分析

通过对这款手机Android木马病毒进行分析，发现该木马的主要目的是获取公民的个人信息，犯罪分子通过木马携带的电子邮箱获取到通讯录和历史短信息，即姓名、身份证号码、银行卡号码及手机号码等，进一步，犯罪嫌疑人会分析目标银行卡的网上支付方式，利用木马病毒能够拦截实时短信息的功能，获取网上支付短信息验证码，从而进行盗刷银行卡活动。

4 手机木马病毒的防范

用户作为手机使用者，应加强防范意识，建议广大用户做到以下几点：一是不要轻易点击短信息中的下载链接；二是及时更新Android手机的版本，目前Android手机木马病毒大多数针对Android 4.4及以下版本有效；三是下载安装APK前，请使用专业的杀毒、防护软件查杀病毒；四是不在陌生、未知的WIFI环境下上网。

5 结束语

手机木马病毒数量已呈几何级增长，传播的途径和范围也与日俱增，对手机木马病毒的防范不仅需要引起人们的高度重视，同时要加强社会监管和新的防范技术的开发，共同营造安全的网络环境。

[1]朱雪梅 Android木马攻击与防范技术的研究[D]杭州电子科技大学，2013

[2]戴威、郑滔 基于Android权限机制的动态隐私保护模型[J]计算机应用研究2012，5（9）：3478-3412

[3]杨丰盛Android应用开发揭秘[M] 北京：机械工业出版社 2010：155-220

[4]李志锋，林恩华 智能手机的数据业务分析手段[J]科技情报开发与经济，2011（07）