移动支付安全威胁与防御DennyLu(陆兆华)DennyLu@全现状目录 1.手机安2.典型支4.小结付类病毒分析3.安全防御方案1手机安全现状2013年的手机安全大形势 手机病毒数 2011年 2.5万2012年 17.7万2013年 79.3万中毒用户数 2012年 2013年0.35万 1.08亿 手机病毒与中毒用户在疯狂增长中……2典型支付类病毒分析支付类病毒与感染用户发展情况 截至2014年Q1（安卓）：黑样本包数107.19万 支付相关黑样本包数 8.28万 （占总体黑样本 7.72%） 支付类病毒感染用户数 1126.75万 手机病毒感染用户数16763.34万 （占总感染用户数6.72%） （用户数为月内去重，月间不去重）（以APK 的哈希值去重）支付类病毒可能的危害行为•伪造软件•伪造顶层窗口•监听、转发、删除短信•监听键盘输入•DNS劫持(广告拦截)•恶意程序注入(外挂)•读取APP的数据文件(手Q目录、支付类APP目录手机支付病毒发展四阶段：第一阶段二次打包仿冒程序验证码转发监控诱导Step 1Step 2Step 3•简单的移动支付APP的病毒，如“银行鬼手”、“银行扒手”、“银行毒手”等病毒，危害性比较小；•简单仿冒移动支付类APP，如“伪淘宝”病毒，简单的诱导输入并转发淘宝的帐户与密码；•个案化传播，以监控支付类验证码的病毒，来配合窃取支付里的金额的病毒，如“盗信僵尸”、“短信窃贼”病毒等；Step 4爆发迄今为止最厉害的手机支付类病毒“银行悍匪”，直接监控20多个手机银行的APP，窃取帐号、密码等信息。

可预见 2014年将会是手机支付病毒集中爆发的一年简单的二次打包支付类相关的病毒 官方的支付类软件安装包Smali 代码 病毒或广告代码被嵌入病毒或广告的安装包 反编译 嵌入重新编译并打包重新签名第一步 第二步第三步第四步这个阶段的二次打包，不一定是针对盗取支付类的相关信息的病毒，可能是其他方面的病毒或广告软件。

手机支付病毒发展四阶段：第二阶段二次打包仿冒程序验证码转发监控诱导Step 1Step 2Step 3•简单的移动支付APP的病毒，如“银行鬼手”、“银行扒手”、“银行毒手”等病毒，危害性比较小；•简单仿冒移动支付类APP，如“伪淘宝”病毒，简单的诱导输入并转发淘宝的帐户与密码；•个案化传播，以监控支付类验证码的病毒，来配合窃取支付里的金额的病毒，如“盗信僵尸”、“短信窃贼”病毒等；Step 4爆发迄今为止最厉害的手机支付类病毒“银行悍匪”，直接监控20多个手机银行的APP，窃取帐号、密码等信息。

可预见 2014年将会是手机支付病毒集中爆发的一年手机支付病毒发展四阶段：第三阶段二次打包仿冒程序验证码转发监控诱导Step 1Step 2Step 3•简单的移动支付APP的病毒，如“银行鬼手”、“银行扒手”、“银行毒手”等病毒，危害性比较小；•简单仿冒移动支付类APP，如“伪淘宝”病毒，简单的诱导输入并转发淘宝的帐户与密码；•个案化传播，以监控支付类验证码的病毒，来配合窃取支付里的金额的病毒，如“盗信僵尸”、“短信窃贼”病毒等；Step 4爆发迄今为止最厉害的手机支付类病毒“银行悍匪”，直接监控20多个手机银行的APP，窃取帐号、密码等信息。

可预见 2014年将会是手机支付病毒集中爆发的一年病毒家族数占80%转发验证码的病毒危害：社会工程学诈骗张先生是做家具定制生意的，近几年生意越做越大，他也开了一家网上旗舰店，双十一期间生意特别好。

“前几天，有个人说他家里要装修，想定制些家具。

那个人就和其他前来咨询的客人一样，没什么特别。

”张先生每次回想这个事情，都特别懊悔。

“只是聊着聊着，那个买家突然说，他在外面，手机流量有限发不了那么多图，让我扫描一个二维码，下载后可以看到他想要的家具的图片和尺寸。

”张先生说，“现在都流行扫一下二维码，我之前扫描过，很方便，就拿手机扫了一下。

但是扫描后，我啥也没看到。

”“后来我又和买家沟通了一会，他说先付些订金，问我要了姓名、身份证、银行卡、手机号等信息，说晚上回到家再汇款就下线了。

”晚上，张先生登录网银，看看买家的订金到账没有，却震惊地发现银行卡内少了好几万。

张先生马上意识到自己被盗了，赶紧冻结了银行卡并向警方报案。

收到二维码扫描二维码安装程序支付帐号关联金额被盗共同案情回放：IM套取信任套取身份证信息发送文件或链接用户接收或下载网上已经明码标价开卖此类木马周400，月680600/无时限，源码1000验证短信窃取：二维码骗钱原理还原诈骗者通过即时通讯工具找到目标直接套取目标用户信息，或间接利用手机病毒/钓鱼网站等诱骗用户填写个人信息后传递给诈骗者，如“姓名、身份证号、银行卡号、手机号”等信息通过二维码或发送文件诱骗目标用户安装手机病毒，手机中毒手机病毒监听转发目标用户手机短信给诈骗者，特别是各类支付平台“动态校验码”短信第一步找到目标用户，骗取信任，诱骗安装手机病毒第二步通过病毒或钓鱼等方式盗取用户重要信息项￥+捏造身份，利益诱惑，骗取目标用户信任第三步利用获得的信息，盗取目标用户钱财支付平台盗取目标用户支付账号余额或银行卡余额￥￥ +利用网络上各类支付平台，特别是第三方支付平台，盗取目标用户支付帐号或快捷支付绑定目标用户银行卡第三方支付帐号内余额或其关联快捷支付金额账号 密码盗￥身份证号、中毒手机号与第三方支付帐号内绑定信息一致时1第三方支付帐号 身份证号 手机病毒转发“动态校验码”通过“重置密码”等方式更改目标用户第三方支付帐号密码，然后登陆进行支付或转帐等操作盗取条件：盗取方式：用户损失：所需信息：通过“重置密码”盗取账户示例图1.姓名与银行卡号、身份证号一致；2.中毒手机号与第三方帐号绑定手机号一致时。

银行卡内余额快捷支付￥2姓名身份证号 银行卡号 手机病毒转发“动态校验码”盗取条件：盗取方式：用户损失：诈骗者冒用目标用户身份验证开通新第三方支付平台帐号，绑定目标用户的银行卡账户到快捷支付中，然后进行支付或转账等操作所需条件：通过开通“快捷支付服务”绑定银行卡示例图手机支付病毒发展四阶段：第四阶段二次打包仿冒程序验证码转发监控诱导Step 1Step 2Step 3•简单的移动支付APP的病毒，如“银行鬼手”、“银行扒手”、“银行毒手”等病毒，危害性比较小；•简单仿冒移动支付类APP，如“伪淘宝”病毒，简单的诱导输入并转发淘宝的帐户与密码；•个案化传播，以监控支付类验证码的病毒，来配合窃取支付里的金额的病毒，如“盗信僵尸”、“短信窃贼”病毒等；Step 4爆发迄今为止最厉害的手机支付类病毒“银行悍匪”，直接监控20多个手机银行的APP，窃取帐号、密码等信息。

可预见 2014年将会是手机支付病毒集中爆发的一年伪造顶层窗口：银行悍匪伪造顶层窗口：银行悍匪银行悍匪的目标是25家银行+淘宝病毒监控的银行或APP手机客户端包名APP名称所属银行或公司com.icbc工行手机银行工商银行com.chinamworld.main中国建设银行建设银行com.bankcomm交通银行交通银行com.taobao.taobao淘宝阿里巴巴集团cmb.pb CMB招商银行com.android.bankabc农行掌上银行农业银行com.rytong.bankgdb广发银行广发银行com.cib.bankcib兴业银行兴业银行com.rytong.bankps邮储银行邮储银行.njcb.android.mobilebank南京银行南京银行com.ecitic.bank.mobile中信银行中信银行com.cebbank.bankebb光大银行光大银行.cmbc.mbank民生银行民生银行.spdb.mobilebank.per浦发手机银行浦发银行com.pingan.pabank.activity平安口袋银行平安银行com.gzrcb.mobilebank广州农商银行广州农商银行.cqb.mobilebank.per重庆银行重庆银行com.chinamworld.bocmbci中国银行中国银行com.rytong.app.bankhx华夏银行华夏银行com.csii.huzhou.mobilebank湖州银行湖州银行.shbank.mper上海银行个人手机银行上海银行com.rytong.bankqd青岛银行青岛银行com.tlbank泰隆银行泰隆银行com.sookin.scyh四川银行四川银行.hzb.mobilebank.per杭州银行杭州银行com.chinamworld.klb昆仑银行昆仑银行其他可能危害支付安全的病毒：监听键盘输入—键盘黑手监听键盘输入：键盘黑手键盘黑手（视频演示）USB窃贼国外支付类病毒一款叫bankun的病毒。

该病毒会监控手机里指定的多款韩国网银软件，并偷偷把这些软件替换成了病毒自带的恶意软件，那么，当用户使用被替换的网银时，还以为是正版网银软件，那么帐号与密码等信息自然就被窃取了。

2012年末，新宙斯木马在国外爆发，它的攻击过程是：受害者点击某个作为钓鱼攻击的恶意链接。

然后被引导到钓鱼网站，网站会让受害者下载一到多个木马：宙斯木马的定制版以及变种SpyEye和CarBerp。

这些木马可以让攻击者记录受害者的Web访问与浏览器，伪称银行为了防范手机被攻击需要进行“安全更新”，进而盗走用户网银。

针对国外网银的两款典型手机病毒：3安全防御方案手机管家的联盟伙伴手机应用及伙伴(12家)安全厂商(15家)运营商与厂商(15家)电子市场(40家)4小结小结病毒疯狂增长，支付类病毒也在2014年爆发典型的支付类病毒防御方案•截至止14年Q1，安卓支付类病毒包数已达8.28万，占总体黑样本7.72%；安卓感染用户数为1126.75万，占总体感染用户的6.72%。

•支付类病毒经过4个阶段的演示；•最厉害的手机支付类病毒是年底出现的“银行悍匪”病毒，直接监控20多个手机银行的APP，窃取帐号、密码等信息；•最高发的是“转发验证码”类病毒，已经公然在网上售卖。

•构成在阻击诈骗链各环节的联盟的防御方案。