? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?FakeBank

文件信息

病毒惡意行為

該病毒運行后彈出設備管理器激活界面，圖標隱藏，電話薄聯系人列表截取，SMS發送及收件箱所有信息攔截，干擾通話，下載惡性偽裝韓國銀行軟件，利用漏洞設備管理器激活頁面里不顯示惡性程序而導致用戶卸載不了軟件等行為。

運行界面

IP地址顯示為日本

詳細分析

惡性樣本運行2秒后彈出設備管理器激活界面，8秒過后把自己圖標隱藏。

手機BOOT以后會執行以下服務，ProcessRemoteCmdService.class,ClientService.class,SmsService.class, Contac tsService.class, CallService.class另外還有惡性軟件終止運行后會自啟動服務惡性功能

利用sendSmsBySmsList函數phoneList和smsContent發送到服務器。

來電攔截及通話記錄刪除代碼

客戶端2分鐘一次query_intercept,5分鐘一次反復的監視update_state.

刪除手機里安裝的正常韓國銀行軟件

韓國銀行介紹

正常韓國銀行軟件刪除以后利用bankHijack()函數在指定的地址里下載偽裝韓國銀行圖標的惡性樣本及安裝

手機聯系人信息攔截代碼

用戶收件箱及接收的短信全部發送到指定服務器

上傳到服務器的其他敏感信息有 用戶信息，手機信息，通話內容信息，錄音信息等。

配置文件信息里能看到設備管理器激活設置時receiver里沒有Action.因此設備管理器激活以后設備管理器設置里不顯示此樣本激活信息而取消不了也卸載不了樣本。只能用工具卸載或者初始化設備。

總結

以上是生活随笔為你收集整理的【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。