比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
安卓木马是如何盗取用户手机银行的
　　银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是，随着手机银行涉及的金钱数额越来越大，攻击者要找到更多创造性的方式来窃取金钱。
　　就在上周，新加坡(ABS)发布了公告称手机银行恶意软件感染安卓智能机的数量大幅上升。我们很有兴趣深入研究这种新兴的威胁，之后我们发现了一个目标是手机银行app的安卓恶意软件，于是我们对它展开了进一步研究。
　　这种移动端恶意软件通过其他恶意软件-一个独立的app或者用户登入恶意网站时进行他们不了解的下载更新进入到用户的手机中。
　　目前为止，我们把所有遇到的伪装过的样本归结命名为假冒的 Flash Player，这个名字并不奇怪，大家都知道"Adobe Flash Player"这个梗(这个东西今年被曝出很多漏洞啊，还有0day什么的，大家都懂的)。Adobe Flash Player所需的权限要比同类普通应用高的多(事实上，在某些情况下安卓并不支持它)。Player最引人注目的权限就是被激活为设备管理员，也就是需要安卓的最高权限，这点很容易被恶意软件操纵。从本质上讲，设备管理员权限赋予了这款恶意软件禁止用户强制停止和卸载app的权利，它的进程决定了移除它非常困难。
　　图1：安装、许可和设备管理员
　　图2：恶意软件要求获取设备管理员权限
　　深入了解恶意代码
　　的配置数据
　　如下图所示，恶意软件检索和解码它的配置文件，Base64编码，使用"@"解析，因此它可以以数组形式储存。
　　图3：代码检索配置文件
　　经过解码的Base64配置显示了它的C&C，目标的应用程序，银行列表，C&C命令等等。
　　图4：Base 64解码的配置数据
　　每当恶意软件需要特定的数据，它可以通过对于数组来说作为索引的硬编码整数值进行检索。如下面的代码所示，整数值14和46指向带有"type"和"device info"值的配置数组的索引。我们还可以看到C&C服务器和作为感染设备标志符的代码值来回应。
　　图5：配置索引
　　我们再来看下清单文件，然后就能很快发现样本想要做什么了。我们很确定这款恶意软件的目标就像我们之前提到的一样，针对手机银行和用户。下面是清单文件的截图：
　　图6：安卓的清单
　　这款恶意软件可以通过创建伪造银行窗口来进行获取被然后用户的银行，如信用卡帐号、账单地址、银行用户名、PIN和密码等等。
　　下图是基于我们样本的被瞄准的银行和支付服务的列表：
　　图7：目标银行和目标支付服务
　　接下来我们再恶意软件的核心功能及主要操作，尤其是执行数据窃取的一系列活动。
　　钓鱼技巧
　　当受害人打开合法手机银行或者支付app时，该恶意软件同时打开了它伪造的银行窗口，然后把两个窗口叠加，用户很难通过界面发现一个新的窗口被打开了。假冒的窗口和原生窗口非常类似。然而，当用户点击其他功能，比如编辑或者屏幕上的菜单功能时就能发现他们的区别了。在这里，假冒的界面没有任何反应，因为假的用户界面没法实现这些功能。
　　图8：伪造的银行界面
　　点击更多任务查看两种登录页面-第一个是合法的应用程序，第二个是伪造的Adobe Flash Player。
　　图9：多任务查看
　　另外一些钓鱼窗口的例子，他们简直和合法窗口太像了：
　　图10：银行网络钓鱼窗口
　　图11：信用卡钓鱼窗口
　　收集登录凭证
　　像前面所说的，最重要的一部就是劝说受害者进入他们伪造的登录界面进行信息验证。因此，恶意软件需要做的第一件事就是决定确定用户使用的是什么公司的银行以及银行界面长什么样。
　　恶意软件定期检查设备上运行的app并通过getPackageName() API调用检索应用程序相关的界面名称然后把这个来自这个API的返回参数和下面这个目标应用程序名字列表进行比较：
　　金融应用程序：
　　mbank.netbank
　　com.cba..netbank
　　au.com.nab.mobile
　　org.westpac.bank
　　org.stgeorge.bank
　　com.anz.android.gomoney
　　nz.co.kiwibank.mobile
　　nz.co.westpac
　　nz.co.bnz.droidbanking
　　nz.co.anz.android.mobilebanking
　　de.dkb.portalapp
　　dk.bec.android.mb1.b00037.prod
　　com.hangseng.servicemenuapp
　　com.scb.breezebanking.hk
　　com.citibank.mobile.hk
　　at.bawag.mbanking
　　at.erstebank.george
　　at.spardat.netbanking
　　com.bankaustria.android.olb
　　com.dbs
　　com.posb
　　com.ocbc.mobile
　　com.uob.mobile
　　com..android.p2pmobile
　　com.isis_papyrus.raiffeisen_pay_eyewdg
　　com.bbva.bbvacontigo
　　es.bancosantander.apps
　　Social and communication application
　　com.android.vending
　　com..android.music
　　com.whatsapp
　　com.viber.voip
　　com.instagram.android
　　com..raider
　　com.google.android.gm
　　图12：获取正在运行进程的包的名字
　　如果匹配的应用程序被发现正在受感染设备上运行，负责回应的类会显示上映的伪造的登录页面。
　　图13：在伪造的登录页显示的流量
　　下面的视频解释了一个真实的攻击情形，当用户的手机被感染时，他们的网上银行凭据是如何被窃取的。希望这个关于真实攻击的视频可以给你启示：
　　视频1：DBS钓鱼场景
　　你可以从这个视频看出，当真实的DBS应用被触发时，受害者将看到一个假冒的DBS登录画面。之后你可以看到受害者会被要求进入这个登录界面两次。接下来，受害者将被重定向到合法的DBS应用GUI。
　　在假的登录界面截取的登录凭证就会被恶意软件发送的C&C服务器上：
　　图14：发送窃取的凭证
　　截取一次性密码(OTP)
　　银行经常把短信作为一次性密码(OTP)发用户作为用户ID和密码之外的登录凭证。获取这种额外的登录凭证需要攻击者进入受害者的设备获取接入OTP的权限来获取OTP。
　　恶意软件通过把自己注册成安卓的SMS广播接收方来完成OTP获取工作。在这种理论中，只要受害者在安装时授予了软件合适的执行权限，恶意软件就能的完成这项工作，这种权限在清单文件中被明确的指出了。因此，所有接收的SMS被很容易的劫持，SMS的内容可以被发送到攻击者的C&C服务器。
　　图15：拦截所有接收到的SMS短信
　　持久性机制
　　我们还有兴趣了解恶意软件的持久性机制是如何工作的。在清单列表的表住下，我们快速定位了持久性机制的入口点-android.intent.action._COMPLETED 和 android.intent.action.ACTION_EXTERNAL_APPLICATIONS_AVAILABLE。但是，分析反编译源码并不是一项简单的任务，因为攻击者把java代码进行了模糊处理。好消息是模糊的代码可以被轻易地确定，因为只有一小部分垃圾代码和实际代码进行了混合。
　　清理Service Starter代码中的垃圾代码后，我们意识到恶意软件看起来回避了俄罗斯用户。这可能表明，这段来自俄罗斯。
　　图16：清单文件显示持久性机制的切入点类名称
　　图17：当手机启动时，接收功能将被启动
　　图18：创建服务处理函数从接收器被调用
　　我们可以从图18看出，恶意软件丢弃使用硬编码文件名的SD卡中的隐藏文件。
　　图19：保存文件到SD卡的原始配置数据
　　大多数安卓恶意软件app不会自动安装-他们需要用户参与来感染设备。所以如果你想让你的设备就需要在下载和更新应用程序时保持警惕。明智的做法是从Google商店这种安全的受信任的源来下载应用程序。
　　话虽这么说，恶意软件编写者也会提高钓鱼能力，让用户下载看起来像合法app的恶意软件并进行更新。安装安全软件更有助于保护用户的个人数据和设备上的在线交易资料。
　　主动检测恶意软件，如Android/Acecard.B!tr，C&C服务器就会被监测成Android.Acecard。
　　Fortiguard Lion Team
　　相关MD5哈希：
　　71cfdcbfd404
　　c7aab793ffd6a107fd08dad
　　eeab2f9137c59efdfae5db2b2b93f178
　　d08b2f4d851b2505f4aed31ecfa53c2e
　　a7e28a9efc8a6acb02dc2
　　C&C服务器列表：
　　http://37.235.48.177:34580
　　http://46.108.39.12:34580
　　http://5.196.243.6:34580
　　http://31.148.219.192:34580
　　STIX xml的报告：/fortiguard-lion/AceCard/blob/master/acecard.xml
　　如何删除恶意软件
　　第一步：把你的手机或者设置为安全模式。按住手机电源键知道手机提示你关机。接下来，点击并按住电源关闭直到手机提示你重新启动到安全模式，然后点击确定。如果你的设备没有翻译，你可以一下，"你的手机型号如何进入安全模式"。
　　图20：让你的手机进入安全模式
　　第二步：在安全模式里，打开设置菜单，滑到安全选项进入。查看名叫设备管理员的一栏，点击进入。现在它会显示设备的管理员列表。移除它作为设备管理员的一项，停用恶意软件app Adobe Flash Player作为设备管理员。
　　图21：找到注册为设备管理员的可以应用
　　第三步：进入设置带但，滚到应用程序，确保有下载选项。点击恶意软件app Adobe Flash Player，打开app info(app信息)，然后点击uninstall(卸载)并确定。
　　图22：卸载银行木马
　　第四步：用正常模式重启手机
　　更多如何找到恶意软件的指示
　　通过使用如文件管理或者安卓SDK工具的adb第三方应用，你可以浏览额外的信息，如SD卡等，然后你可以查看隐藏文件(在文件名前加.)。然后你可以查看每个隐藏文件，找到类似于图19中的文件名。
　　从设备管理员列表中查看任意不知名的或者没见过的应用，如图21所示。
　　小编寄语
　　小编是果粉!因为的iOS更加安全，安卓因为版本太多，机型不一，每种都有不同的机制，给带来了更多可乘之机，怎么保护我们的隐私不受到侵害？我们的金钱不被窃取？我们的生活不受到影响？定期检查更新，及时进行系统更新;不使用root权限或者锁住root权限;定期杀毒;按时看2cto，了解最新的漏洞资讯，查看自己的手机是否有中毒情况;在付款时不要贪图快而大意;自己加倍小心才能不给罪犯可乘之机。
相关文章：
[ 责任编辑：小石潭记 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte　　您当前的位置是：
电子银行服务
========分行首页=========
马鞍山分行
========友情链接=========
中国银行业监督管理委员会
经济观察报
安徽省银行业协会
合肥兴泰控股集团有限公司
手机银行服务
徽商银行手机银行是为智能手机及移动终端用户量身定制的移动金融服务平台，它具有账户查询、转账汇款、缴费支付、投资理财、信用卡等强大的金融服务功能，还创新推出了网点地图、转账汇款实时到账等丰富的特色服务。
手机银行客户端安装与使用手册
点击下载《》
Android版本下载
适用于使用android系统（含使用android内核的系统）的手机
目前支持大多数常用手机品牌与型号（如：三星、摩托罗拉、索尼、HTC、华为、中兴、小米、魅族等）
支持的android系统内核版本
2.2系列 、2.3系列、4.0系列
iPhone版本下载
适用于苹果iPhone手机
与 iPhone 3GS、iPhone 4、iPhone 4S、iPhone 5、iPod touch（第3代）、iPod touch (第 4 代)、iPod touch (第 5 代) 和 iPad 兼容。需要 iOS 4.0 或更高版本
手机拍摄二维码下载
手机拍摄二维码直接下载手机银行客户端（可使用“我查查”等应用拍摄二维码下载）。
&&&&& &&&&&
手机银行功能
安全使用小贴士：
版权所有&徽商银行&皖ICP备号&全国统一客服热线&（安徽省内可直拨96588）中国银行手机银行首次登录指引-中国银行　网银-理财
输入您的搜索字词
提交搜索表单
华商财经导航
联系方式：029-
理财交流QQ群：
中国银行手机银行首次登录指引
  
　　尊敬的客户：
　　您好！感谢您使用中国银行手机银行——“中银掌上行”！下面我将伴您进行中国银行手机银行的首次登录，之后您就可以通过安全、便捷、优惠、功能丰富的“中银掌上行”进行自助理财。
　　1.开通前注意事项： (1)“中银掌上行”需通过GPRS上网的方式来实现登录和使用，请您确认您手机的上网功能已开通，中国移动用户手机上网接入点(APN)请设置为：CMWAP(WAP over GPRS、移动梦网)；中国联通用户手机上网接入点(APN)请设置为：UNIWAP；中国电信用户手机上网接入点(APN)请设置为：CTWAP。
　　关于手机上网的详细设置，请参阅手机说明书或咨询运营商，移动用户请拨：10086，联通用户请拨：10010，电信用户请拨：10000。
　　注：使用“中银掌上行”产生的上网流量费用由当地运营商收取。
　　(2)“中银掌上行”能支持市面上主流机型，为确保您能顺畅使用，建议您使用大众手机品牌的主流型号开通“中银掌上行”。
　　“中银掌上行”支持的具体手机型号，请咨询95566。
　　2.当您在柜台开通“中银掌上行”理财版后，您将获得：
　　*中银e令，即动态口令牌(E-Token)；
　　*“中银掌上行”开通短信：在您开通“中银掌上行”后，95566短信平台会立即向您注册手机号发送一条开通短信，内有“中银掌上行”登录地址：，您点击该地址即可登录“中银掌上行”。
　　建议您将该地址存为手机浏览器书签，便于日后登录。
　　3.首次登录
　　“中银掌上行”采用手机号作为默认用户名，您登录时，无需输入用户名，只需选择相应运营商，即进行身份验证(见图1)。
身份验证成功，出现登录页面，请选择客户登录(见图2)。若您的身份已验证成功，而使用的手机为非主流机型，建议您选择兼容性测试，确保您的手机能正常显示“中银掌上行”页面。
登录“中银掌上行”，若您想使用全部功能，请输入动态口令(见图3)。
　　首次登录，系统会提示您修改登录密码(见图4)，密码修改成功后您就需要用新的密码登录网上银行。为了您的账户资金安全，建议您设定安全级别较高的密码(数字和英文字母混合)，并对密码定期进行修改。
　　登录成功，您即可进入欢迎页面(见图5)，上面显示了您的登录历史记录，点击功能导航，即可展现“中银掌上行”理财版的全部功能(见图6)。
　　4、开通电子支付功能
　　在功能导航页面，点击电子支付，进入电子支付页面后选择“开通电子支付功能”(见图7)，接受协议后，设置电子支付账户(见图8)，设置完成后，您就可以使用手机支付功能了。
　　1、&查询版用户只需输入登录密码即可登录，理财版用户也可不输入动态口令，仅使用查询版功能。查询版仅提供账户查询和个人设定功能。
　　2、&若您已开通网银，并设定了网上支付账户，当您开通手机支付功能后，网上支付账户将默认成为您的手机支付账户。
　　温馨提示：在任何情况下，我行及公安、司法、人行、银监会等单位都不会向您索要网银及手机银行登录密码及动态口令，请不要轻信以任何名义和理由要求您办理网银、手机银行或通过网银、手机银行划转资金的来电或短信。
 编辑:陈岚　来源:华商财富网
声明：此消息系转载自合作媒体，华商财富网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考，不构成投资建议。投资者据此操作，风险自担。
　 相关新闻
&& <font size=&-2& color=&#-05-13 11:02
&& <font size=&-2& color=&#-03-23 11:47
一、原创内容页① 华商报、华商晨报、新文化报、重庆时报、大众生活报所有自采新闻(含图片、音视频)独家授权华商网发布，未经书面授权不得转载或镜像；授权转载应在授权范围内使用，并注明来源，例：“华商网-华商报”。
② 部分内容转载自其他媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。
备注：华商网独家原创，转载请联系029- （）
二、华商网提供上传空间、链接及论坛/博客/评论等服务页面的免责申明
①&所有图片、音视频标明来源，有作者姓名要详细标注
② 华商网为用户提供上传空间服务，对用户传输内容不做修改或编辑。当著作权人和/或依法可以行使信息网络传播权的权利人发现上传内容侵犯其信息网络传播权时，应向华商网发出权利通知，华商网将根据相关法律规定采取措施删除相关内容。（）