網(wǎng)上有很多關(guān)于pos機病毒感染,社會工程學(xué)病毒StealAll全線爆破的知識，也有很多人為大家解答關(guān)于pos機病毒感染的問題，今天pos機之家(m.afbey.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機病毒感染

pos機病毒感染

引言：互聯(lián)網(wǎng)的世界中，我們都在裸奔。隱私安全問題一直存在也將持續(xù)伴隨著我們的生活，與我們休戚相關(guān)。數(shù)據(jù)泄露事件頻發(fā)，Jason\'s Deli于1月份披露，犯罪分子通過在該公司不同餐廳的多個POS終端上部署搶占RAM的惡意軟件，獲得的支付卡信息是來自支付卡的磁條全軌數(shù)據(jù)，記錄數(shù)量340萬。網(wǎng)絡(luò)安全研究公司Gemini Advisory的4月報告，網(wǎng)絡(luò)犯罪分子通過植入商店收銀系統(tǒng)的軟件竊取信用卡和借記卡號碼數(shù)據(jù)記錄數(shù)量500萬……

社會工程學(xué)原理引用

“人類天生就容易被蒙騙并且膽小怕事。通過社交工程，你將會把自己體內(nèi)這兩種性格磨練掉?！痹陔娪啊段沂钦l:沒有絕對安全的系統(tǒng)》有這樣一句經(jīng)典臺詞。在信息安全中，人是最薄弱的環(huán)節(jié)，惡意軟件可以通過社會工程學(xué)手段進行欺詐用戶以收集信息、入侵系統(tǒng)。本次我們分析的惡意軟件StealAll就使用了假托、暗度陳倉、尾隨等社會工程學(xué)手段，達到控制用戶手機，監(jiān)聽竊取用戶隱私的目的。

惡意行為概述

同過樣本的基本信息，對病毒的社會工程學(xué)假托手段可見一斑。

樣本基本信息：

病毒名稱:A.Privacy.StealAll.sf

應(yīng)用包名：com.android.androidservice

應(yīng)用安裝名稱：百度

惡意屬性：隱私竊取、遠程控制

用戶安裝病毒應(yīng)用后，應(yīng)用通過隱藏自己的桌面Icon,使用戶無法直接使用和卸載，注冊系統(tǒng)啟動、網(wǎng)絡(luò)變換、短信接收監(jiān)聽來啟動應(yīng)用，并嘗試獲取root權(quán)限，在具有root權(quán)限的系統(tǒng)中，將自己的應(yīng)用置為系統(tǒng)應(yīng)用，并卸載自身用戶應(yīng)用。在一切準(zhǔn)備工作就緒之后，病毒應(yīng)用通過遠控技術(shù)開啟了監(jiān)聽竊取用戶隱私的行為，竊取的用戶隱私包含:用戶語音通話、短信信息、社交軟件數(shù)據(jù)、通訊錄、通話記錄、設(shè)備信息等。

StealAll惡意行為源碼爆破

在android系統(tǒng)中，執(zhí)行特定的操作，尤其是涉及隱私的行為都需要相應(yīng)的權(quán)限申請，此樣本中，主要行為為竊取隱私，除了網(wǎng)絡(luò)訪問的權(quán)限還需要其他的權(quán)限，逆向思維，我們可以從其申請權(quán)限中了解其行為。

權(quán)限列表如圖1所示：

圖1 權(quán)限列表

其中的RECORD_AUDIO、READ_CONTACTS、READ_SMS、RECEIVE_SMS、SEND_SMS權(quán)限都屬于極其敏感的權(quán)限，下面我們就從源碼入手，扒一扒這個樣本。

遠程控制分析

此病毒樣本通過遠程控制，達到變換主控地址，長期監(jiān)聽用戶手機的目的。我們先用一張圖來描述病毒從安裝到竊取隱私的遠控操作主流程。如圖2所示：

圖2 StealAll遠控操作主流程

從圖中我們可以看到，遠控是通過先獲取用戶手機號碼，上傳到服務(wù)器，然后通過udp網(wǎng)絡(luò)和短信發(fā)送主控ip和指令進行雙通道實現(xiàn)的。我們從源碼層面對其流程進行追蹤。

首先，最基本的是獲取權(quán)限和設(shè)置監(jiān)聽，我們從receiver入手，在清單文件中注冊了TimerReceiver、AutoSMS和NetWorkMonitor，如圖3所示：

圖3 注冊廣播

通過系統(tǒng)廣播觸發(fā)監(jiān)聽之后，開啟服務(wù)獲取用戶電話號碼發(fā)送到服務(wù)器，需要先獲取主控ip，通過解密assets文件獲取ip如下圖4所示：

圖4 ip地址

獲取用戶手機號碼，如圖5所示：

圖5 獲取用戶手機號

將用戶手機號和一些設(shè)備信息通過udp協(xié)議上傳到服務(wù)器，如圖6所示：

圖6 上傳用戶手機號

獲取到用戶的手機號碼之后，就會向用戶手機發(fā)送短信，而app端通過監(jiān)聽用戶接受短信的廣播，判斷是否為指令短信，進行攔截和執(zhí)行遠控操作。

監(jiān)聽到用戶收到短信時，先根據(jù)短信內(nèi)容是否有標(biāo)記字段"Your seriala:"，判斷是否為指令短信，如圖7所示：

圖7 遠控短信解析

如果為指令短信則解析指令進行相應(yīng)操作，并終止短信廣播，使用戶收不到此信息，有需要時，向遠控號碼回復(fù)信息。分別如圖8、圖9所示：

圖8 攔截短信解析指令

圖9 終止短信廣播及回復(fù)短信

病毒不僅通過短信通道遠控，還使用udp協(xié)議，解析網(wǎng)絡(luò)響應(yīng)指令進行遠控操作，解析udp返回數(shù)據(jù)指令如下圖10所示：

圖10 解析網(wǎng)絡(luò)遠控指令

根據(jù)對遠控代碼的分析，我們可以得出其指令字典，分為短信指令表和網(wǎng)絡(luò)指令表，分別如下表1、表2所示：

表1 短信遠控指令字典

表2 網(wǎng)絡(luò)遠控指令字典

隱私竊取分析

上面我們對病毒信息和主控方式進行了描述，對其隱私竊取的框架也已經(jīng)了然于胸，下面進入核心代碼，對其主要竊取隱私的源碼進行分析。

獲取社交軟件信息

對于經(jīng)常使用的社交軟件，每天都在產(chǎn)生著大量的我們的個人信息，甚至我們會將自己的一些秘密和重要的賬號信息通過社交軟件告訴我們親密的人，咱們在此不討論第三方社交平臺的安全問題，為了實現(xiàn)用戶體驗等一些因素，社交軟件會將我們的一些社交信息進行本地的存儲。大多數(shù)人知道的是SD下的一些照片，視頻和其他一些文件的存儲，那我們的文本聊天記錄存儲在哪呢？會不會被人惡意竊?。?/p>

下面我們對此病毒竊取社交軟件信息的行為進行源碼分析。通過上面遠程控制行為我們知道，在接收特定指定之后，會進行微信數(shù)據(jù)的竊取行為，接收指令后的操作如下圖11所示：

圖11 解析微信數(shù)據(jù)竊取指令

接收到含有“weixindb”字段的指令之后，就執(zhí)行了微信數(shù)據(jù)拷貝操作方法CopyWeiXinData,進入此方法查看其實現(xiàn)形式，如圖12所示：

圖12 微信數(shù)據(jù)拷貝

從拷貝微信數(shù)據(jù)的方法中我們看到它欲將微信數(shù)據(jù)和語音文件等拷貝到SD卡目錄下AndroidService目錄，對，就是目錄“/data/data/com.tencent.mm/MicroMsg”下的文件，這個文件就存儲著你微信的各種數(shù)據(jù)包含文本聊天的記錄，然后通過解密就可以看到你的聊天了，至于如何解密，網(wǎng)上有很多介紹，在此就不做介紹。但是，了解過移動開發(fā)的都知道，要想訪問app文件數(shù)據(jù)，也就是“/data/data……”目錄，是需要ROOT權(quán)限的，那么此病毒又是在哪里獲取ROOT權(quán)限的呢？我們對命令執(zhí)行函數(shù)RootCmd進行追蹤。如圖13所示：

圖13 CMD命令

可以看到其有一個RootUtil的獲取root權(quán)限的工具類，執(zhí)行了“zlsu”命令。在服務(wù)初始化時，調(diào)用了其兩個靜態(tài)方法，嘗試獲取手機的root權(quán)限。在方法preparezlsu文件中，加載自身的zlsu文件，嘗試將其寫入系統(tǒng)目錄，在此，說是嘗試，因為能不能成功我們不對其進行評判。嘗試寫入系統(tǒng)目錄的源碼和zlsu文件分別如圖14、圖15所示：

圖14 嘗試寫入系統(tǒng)文件

圖15 zlsu文件路徑

監(jiān)聽用戶通話及獲取用戶通話記錄

在上面的遠控分析中我們知道，此病毒應(yīng)用可以通過遠程操控開啟用戶和關(guān)閉手機的錄音功能，達到竊聽用戶通話的目的，在黑客電影中經(jīng)常遇到的橋段也可能發(fā)生在你的身上，是不是細思極恐？在此病毒應(yīng)用中錄音的監(jiān)聽分為兩部分，一是遠控隨時開啟錄音，錄到什么就不確定了；二是注冊電話狀態(tài)的監(jiān)聽，只要你打電話就進行錄音。

首先我們從遠控錄音開始分析，在收到監(jiān)聽指令之后，病毒應(yīng)用調(diào)用MediaRecorder開啟錄音功能。如圖16所示：

圖16 遠控開啟錄音

在收到結(jié)束錄音指令時，關(guān)閉錄音，并將錄音狀態(tài)和錄音文件保存路徑發(fā)送到服務(wù)器，之后服務(wù)器會通過發(fā)送指令獲取用戶文件。源碼如圖17所示：

圖17 遠控結(jié)束錄音

其次，我們來分析其設(shè)置通話監(jiān)聽的行為，在服務(wù)開啟時，通過TelephonyManager設(shè)置通話監(jiān)聽，在通話狀態(tài)改變時，進行錄音操作。設(shè)置監(jiān)聽的源碼如圖18所示：

圖18 設(shè)置通話監(jiān)聽

開啟錄音的方法如圖19所示:

圖19 監(jiān)聽回調(diào)開啟錄音

在用戶通話結(jié)束之后，將錄音狀態(tài)和錄音文件保存路徑發(fā)送到服務(wù)器。結(jié)束錄音源碼如圖20所示：

圖20 監(jiān)聽回調(diào)結(jié)束錄音

獲取用戶手機截屏

獲取手機截屏也是此病毒竊取的隱私很重要的一部分，很多應(yīng)用程序尤其是涉及用戶金錢利益的應(yīng)用都會對自身數(shù)據(jù)進行重重加密和防護，因此即使惡意人員獲取了我們的網(wǎng)絡(luò)協(xié)議包或者應(yīng)用本地數(shù)據(jù)也很難從中獲取私密的信息。但是，我們使用這些金融軟件時都會進行明文展示，不管是賬戶余額還是密碼輸入等，如果第三方應(yīng)用沒有對防劫持進行安全防護的話，對用戶來說是極其危險的，惡意人員可能通過截屏來獲取你的隱私信息。下面我們就此病毒中的截屏操作和竊取進行源碼分析。

在主服務(wù)開始后，會初始化截屏類Screen，如圖21所示：

圖21 初始化截屏類Screen

在Screen的初始化方法Init中，傳入了AssetManager的對象，去加載assets目錄下的文件，在其方法中我們發(fā)現(xiàn)一些加密數(shù)據(jù)，對其進行解密，執(zhí)行操作及方法源碼如圖22所示：

圖22 加載截屏工具

我們可以看到其加載了一個開源的手機截屏的工具fb2png，并將其copy到tmp目錄下,那么它是在何時調(diào)用此工具來截屏的呢？在主服務(wù)中還有一個設(shè)置的定時器Timer，設(shè)定時間執(zhí)行這些竊取行為，Timer及調(diào)用截屏測操作如圖23所示：

圖23 定時器開啟截屏操作

Timer設(shè)置定時任務(wù)如圖24所示：

圖24 設(shè)置定時任務(wù)

設(shè)置定時之后，就定時截取用戶的手機屏幕，將其存在文件夾下，然后通過命令獲取這些截屏，使用截屏工具fb2png截屏和發(fā)送截圖存儲目錄的源碼如圖25所示：

圖25 執(zhí)行截屏命令

獲取用戶通訊錄

Android系統(tǒng)中用戶的通訊錄是存在在數(shù)據(jù)庫中，用通訊錄軟件來進行管理的，為了方便第三方應(yīng)用的使用，它使用了內(nèi)容提供者對外提供通訊錄內(nèi)容，那么第三方應(yīng)用就可以使用特定的URI對其進行解析獲取用戶的通訊錄。此病毒應(yīng)用中，通過遠程指令“contact”來控制獲取用戶的通訊錄信息。我們來看一下其調(diào)用內(nèi)容解析者對用戶通訊錄進行竊取行為的源碼，如圖26所示：

圖26 竊取用戶通訊錄

獲取用戶短信

Android系統(tǒng)中短信與通訊錄是一個原理，也是存儲在數(shù)據(jù)庫中使用內(nèi)容提供者提供給第三方應(yīng)用使用，在此病毒中，在接收到遠程控制指令“getsms”時，就會執(zhí)行竊取用戶短信箱中的短信的行為。獲取短信的URI為“content://sms/”，竊取用戶短信信息的源碼如圖27所示：

圖27 竊取用戶短信信息

此病毒惡意行為的主要屬性是隱私竊取，除了以上詳細分析的五大隱私竊取項之外，還有電話號碼、設(shè)備信息、用戶使用應(yīng)用程序信息和設(shè)備信息等等，這些信息在android系統(tǒng)中都有相應(yīng)的API提供，在此，不再進行一一分析。對于此類監(jiān)聽病毒，與我們的切身利益息息相關(guān)，如何才能跳坑？

防護措施與建議

針對StealAll家族類病毒，立足android系統(tǒng)特性，我們給出以下幾種防護措施和建議：

? 建議用戶提高警覺性，使用軟件請到官網(wǎng)下載。到應(yīng)用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少病毒的侵害。

? 對于大部分使用android6.0以上系統(tǒng)手機的用戶，在安裝應(yīng)用進行授權(quán)時，針對敏感性高又與軟件功能使用無關(guān)的權(quán)限謹(jǐn)慎授予或拒絕賦權(quán)。

? 手機系統(tǒng)不輕易ROOT以免被惡意軟件侵害。

? 用手機權(quán)限管理系統(tǒng)，除常用軟件必須權(quán)限，可設(shè)置為詢問。

? 手機安裝安全防護軟件、定期清理垃圾、查殺木馬病毒。

? 用戶發(fā)現(xiàn)感染手機病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報受理中心”或“中國反網(wǎng)絡(luò)病毒聯(lián)盟”進行舉報，使病毒軟件能夠第一時間被查殺和攔截。

以上就是關(guān)于pos機病毒感染,社會工程學(xué)病毒StealAll全線爆破的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機病毒感染的知識，希望能夠幫助到大家！