- 1、本文档共37页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
手机支付木马现状及典型样本分析
百度移动安全实验室 :贾志军
手机支付方式
手机支付主要风险
MasterKey签名漏洞
系统及软件 短信欺诈漏洞 购物、手机银行、支付类山寨应用
漏洞 电话拨打权限绕过漏洞 恶意软件 恶意吸费软件
WebView挂马漏洞
钓鱼网站
移动支付 钓鱼WIFI
伪基站
安全意识 环境安全 手机丢失
淡薄 欺诈短信、电话
移动通讯账户支付攻击方式
1 1 1
发送扣费短信到SP号 静默下载推广应
码 切换接入点为wap接入点 用消耗流量 后台拨打声讯电话
广告平台协议模
2 2 2
拟点击
拦截移动运营商返回的扣费 模拟用户自动化请求购买流程 后台挂断电话
确认短信
3
3
根据确认短信 ,自动回复短 拦截移动运营商发来的扣费通
信确认扣费 知短信
4
拦截扣费成功短信
短信扣费 WAP扣费 流量偷跑 声讯电话
案例1:吸金面具SP短信扣费
案例2:扣费黑手短信支付
伪装成色情软件诱导用户下载 ,通过支付平台的短信支付功能 ,
购买游戏点卡等虚拟物品。
扣费黑手短信支付
案例3:MMarketPay WAP扣费
2012年7月首次发现 ,该病毒已经在国内的九家应用商店中蔓延 ,大约10
万部的Android智能手机受到此病毒的感染。
1
首先将用户的APN换成移动梦网 ,
以便手机可以自动登录M-
Market
5
2
然后找到付费应用并在后台进行 M-Market自动下载应用 ,完成付
模拟点击 费。
3
将M-Market发送的验证码拦截并
4
据为己有 ,如果发送的验证图片
被调用的话 ,这个病毒就会自动 病毒验证码获取之后 ,将验证码发
将图片发送到远程服务器进行
您可能关注的文档
- 国内外高新技术产业发展综览.pdf
- 现代物流——储配作业优化方案设计.pdf
- 金地·国际城项目商业定位及产品优化方案.pdf
- 智能机器人及其应用.pdf
- 3G技术发展及应用.pdf
- 源达日化项目评估报告.pdf
- 企业会计准则制定背景综述.pdf
- 机械设计-优化设计的数学基础.pdf
- 节能评估报告.pdf
- 卓越置业集团有限公司-集团管控模式与组织结构优化.pdf
- 2024年江西省寻乌县九上数学开学复习检测模拟试题【含答案】.doc
- 2024年江西省省宜春市袁州区数学九上开学学业水平测试模拟试题【含答案】.doc
- 《GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语》.pdf
- 中国国家标准 GB/T 44275.2-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第2部分:术语.pdf
- GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- 《GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构》.pdf
- 中国国家标准 GB/T 44285.1-2024卡及身份识别安全设备 通过移动设备进行身份管理的构件 第1部分:移动电子身份系统的通用系统架构.pdf
- GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 中国国家标准 GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南.pdf
- 《GB/T 44275.11-2024工业自动化系统与集成 开放技术字典及其在主数据中的应用 第11部分:术语制定指南》.pdf
文档评论(0)