SpyEye是一类恶意代码，会给用户带来极大的危害，其危害参见参考资料3）

下面是Man in the Mobile attacks (MitMo/ZitMo)的演化图：

以下是Trusteer对SypeEye的分析：

Stage 1: MITB – web injects module

受害者在访问目标银行时，会得到注入的消息，提示有“新的”安全措施（security measure）

点击上面的框框里的“set the application"，会有消息，进一步提示用户安装信息

Stage 2 : Android (malicious) App installation

如果用户按提示去下载回来，并且安装，会很难发现这个app的踪迹。

为了完成安装，用户被要求拨打“325000”，这个恶意代码拦截这个电话并且把“所谓的”激活码显示给用户。

Stage 3: Android secure application is a Trojan

所有的SMS消息都会被拦截并且转移到攻击者的C&C,当一个SMS接收到时，会创建一个字符串以备后面使用：

"?sender=[SendeerAddress]&receiver=[ReciverAddress]&text=[MessageBody]"

这些字串将会作为HTTP的GET请求信息，传递给攻击者.在Settings.xml里面定义了传输方法，比如SMS或者HTTP URL。

Stage 4: SMS Spy Command & Control

经过检查，域名"123ffsaf.com"和SpyEye早有关联。以下是域名"123ffsaf.com"SpyEye跟踪者超过3天的历史记录。

可以发现以下信息:

其中发送者15555215556 和接受者15555215554 是用来模拟攻击的2个Android 模拟器。

参考文献：

1）http://blog.eset.com/2011/09/16/android-banking-malware-in-the-wild

2）https://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild

3）http://www.cnblogs.com/jecray/articles/2123164.html

更多相关文章

1. android 关掉Eclipse的自动代码提示
2. Android(安卓)Studio提示 Cannot load key store: Keystore was
3. Android(安卓)如何避免运行时奔溃
4. 我的Android心得（5）--响铃、震动、状态栏提示
5. adb push时提示 read only的问题
6. Android(安卓)启动异常：The connection to adb is down, and a se
7. 在 Android(安卓)的 IM 应用中使用 asmack 库实现用户头像的传输
8. Ubuntu android adb 使用
9. Android半透明提示效果的实现

随机推荐

1. android 快捷键
2. Android(安卓)逆向学习之《Smail语法查询
3. android涂鸦程序（在图像上绘制）
4. MVPVM框架 Android(安卓)DataBinding(零
5. Android(安卓)MP4视频录制（思路篇，无DEMO）
6. Android(安卓)源码 图形系统之请求布局
7. Android混淆、反编译以及反破解的简单回
8. Flutter学习笔记 按返回键直接回到桌面，不
9. Android开源SlidingMenu的使用
10. android之文字处理