加入收藏 | 设为首页 | 会员中心 | 我要投稿 源码网 (https://www.900php.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

发布时间:2016-11-15 10:14:52 所属栏目:安全 来源:雷锋网
导读:副标题#e# 本文原标题《Trick蠕虫病毒来袭!幕后主使竟是一名高中生“黑客”

我们从代码静态分析中得到恶意开发者邮箱信息,在邮箱中有蒲公英应用分发平台上的账号,从中可以得知作者的名字和QQ:

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

通过分析我们还发现该恶意作者存在对外兜售拦截马的行为:

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

3.进一步判断恶意开发者身份

a)通过上一追溯环节的结论,我们得到了恶意开发者的qq账号,以下是其qq账号个人资料信息。从下图可以看到,该开发者的年龄为18岁(但该信息不一定可靠),初步推断其为高中生的可能性。

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

b)通过访问该qq对应的qq空间,我们看到其空间中展示了某渠道拦截到的受害者短信信息,为该qq与实际攻击者进行了一次强关联,也进一步保证了我们通过该qq收集的攻击者信息的可靠性。

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

c)该空间中上传了一些学校运动会的照片,可以推断出该攻击者为一名学生。

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

d)我们在其空间中看到了攻击者发布的学校位置的卫星图以及对应的卫星拍摄视频地址。通过查看该卫星拍摄视频,视频结尾呈现了视频制作者姓名,而该姓名与前面追溯环节所得到的攻击者姓名信息完全一致。

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

e)更为关键的是,该卫星拍摄地图以及空间中的说说信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德阳市下某县的某所高中,进一步印证了攻击者为高中生的推测。

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

综上,我们可以推断出该恶意开发者极有可能是来自四川省德阳市下某高中的一名高中生。

总结

Trick病毒伪装成中国移动,以免费获取话费的钓鱼短信诱导用户下载并安装病毒。该病毒运行后窃取用户的短信内容并上传至指定邮箱,同时向联系人群发钓鱼短信进行恶意传播。此外,该病毒通过短信指令远控执行恶意行为,后续可能进一步形成僵尸网络。

Trick病毒虽然没有窃取用户账户密码的恶意功能,但从恶意开发者邮箱内的短信内容可以合理推断出该恶意开发者极有可能通过其他渠道获取用户的QQ、微信、甚至银行账户等隐私信息,后续通过解绑、改密的方式登录用户账户,对用户财产造成极大的安全风险。

一个出自高中生之手的病毒技术如此高明,让我们深感如今高中生信息技术水平之高的同时,也警醒我们应该加强对网络安全感兴趣的年轻人的正向引导,将他们的技术天赋应用在对抗网络攻击上,而不是开发病毒窃取别人的隐私、财产,否则黑客最终将会受到法律制裁。

安全建议

针对Trick拦截马病毒,集成AVL反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

  • 请从正规的应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用
  • 谨慎点击短信中附带的链接
  • 不要在任何场合随意泄露自身隐私信息,注重自身隐私保护
  • 建议在手机中至少安装一款杀毒软件,同时保持定期扫描的习惯

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

(编辑:源码网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读