NEWS 安全资讯

首页> 安全资讯 > 爱加密:移动App间谍件大揭秘

爱加密:移动App间谍件大揭秘

发布时间:2014-06-25

近日在京举办的2014移动互联发展大会正式发布了《中国移动互联网发展报告(2014)》蓝皮书,报告显示,截至2014年1月,我国移动互联网用户总数已达8.38亿户;手机网民规模达6亿,占总网民数的八成多,手机坐上了移动互联网终端的第一把交椅。于是,移动互联网的重要组成部分移动App火了。无论您使用的是手机还是平板电脑,或者其他设备,面对如此海量的App,在安装和使用这些形形色色的App时是否想到过这样的事情,一些App背后偷偷地在窃取着您的个人敏感隐私!

下面我们来看看移动App间谍软件在背后都做了哪些不可告人的秘密。

移动App盗贼,无处不在

1 盗取金融账号信息

2014是互联网金融迅速发展的一年,针对这块“肥肉”恶意App自然不会错过。当点击招商银行登陆界面时,会跳转到SocketDemo这个activity。

应用进入到SocketDemo这个activity,用户输入账户、手机号和密码,点击send按钮,便会向“1891128940”号码发送以上信息,从而盗取用户账号及密码。

同时也发现有伪装成支付宝,工商银行,建设银行,交通银行等登录界面,几乎可以假乱真,实则后台获取账号密码等敏感信息并通过短信发送。

以获取支付宝密码为例,分别获取支付宝账号,密码及支付密码并以#号连接,之后base64加密再短信形式发送。

不仅仅是国内,国外的银行盗号也很严重。以一个西班牙银行Santander为例,这个样本的主要行为就是:伪装成银行的在线口令生成器,诱骗用户在Clave de firma(西班牙语,翻译后为:签名密钥)下的控件内输入自己的银行密码,并随机生成虚假的口令(mToken)显示给用户。这时用户的银行密码通过短信和网络的形式被泄露,并且在之后配合样本,截取到银行发送给用户的手机验证码,攻击者可以在用户完全不知情的情况下窃取用户的银行财富。

2 盗取聊天应用消息记录

“听风者”现实中的监听,该应用运行界面及网站功能说明,此软件还有一个登录后台可查看聊天记录。爱加密安全专家提醒广大手机用户,加强安全意识,增加安全防范,不要让无形的”听风者”让你成为某某门的主角哦。 

 

再来看看国外间谍应用,上图为该程序运行后的界面,下图为后台查看的一些社交或聊天应用的消息。

3 盗取更多隐私

获取短信记录,如敏感的支付宝或银行相关信息

获取通话录音、SMS信息、定位信息、环境录音

获取手机通话记录

获取SD卡文件列表

获取联系人信息

没有做不到,只有想不到,一旦中招,就没有隐私可言了。爱加密(www.ijiami.cn)建议广大App开发者做好App安全防护,在注重用户体验的同时加强对用户隐私泄露的防护,双管齐下才能获得用户的青睐。


加入收藏