SpyEye是一类恶意代码,会给用户带来极大的危害,其危害参见参考资料3)
下面是Man in the Mobile attacks (MitMo/ZitMo)的演化图:
以下是Trusteer对SypeEye的分析:
Stage 1: MITB – web injects module
受害者在访问目标银行时,会得到注入的消息,提示有“新的”安全措施(security measure)
点击上面的框框里的“set the application",会有消息,进一步提示用户安装信息
Stage 2 : Android (malicious) App installation
如果用户按提示去下载回来,并且安装,会很难发现这个app的踪迹。
为了完成安装,用户被要求拨打“325000”,这个恶意代码拦截这个电话并且把“所谓的”激活码显示给用户。
Stage 3: Android secure application is a Trojan
所有的SMS消息都会被拦截并且转移到攻击者的C&C,当一个SMS接收到时,会创建一个字符串以备后面使用:
"?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]"
这些字串将会作为HTTP的GET请求信息,传递给攻击者.在Settings.xml里面定义了传输方法,比如SMS或者HTTP URL。
Stage 4: SMS Spy Command & Control
经过检查,域名"123ffsaf.com"和SpyEye早有关联。以下是域名"123ffsaf.com"SpyEye跟踪者超过3天的历史记录。
可以发现以下信息:
其中发送者15555215556 和接受者15555215554 是用来模拟攻击的2个Android 模拟器。
参考文献:
1)http://blog.eset.com/2011/09/16/android-banking-malware-in-the-wild
2)https://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild
3)http://www.cnblogs.com/jecray/articles/2123164.html