近期,瑞星客服中心接到多方用户电话,称安卓手机中毒,接到很多莫名其妙的陌生短信,短信内容中包含一个网址,点击后自动下载一个apk程序让用户安装,安装后又没发现病毒程序在自己的手机中。随后,瑞星移动安全工程师对此展开了调查,发现用户手机中中了一个叫“短信拦劫马”的病毒。其实类似的病毒已经不是什么新鲜事了,近几年一直非常火爆,最近这类病毒又卷土重来,爆发式的在社会上扩散传播,中招用户和受骗用户随之也越来越多。短信拦截马,顾名思义就是一种可以拦截到他人短信的木马,可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容私自发送到攻击者的手机和邮箱中。 短信拦截马的功能很简单、开发成本也很低,但更新变种的速度很快,涉及的样本量也非常庞大。此类木马最常见的手法是利用“你干过的事情别以为没有人知道”、“看你做的龌龊事”、“教育课程”、“移动兑换积分”等语句来诱导用户下载安装,在安装运行后病毒会在后台拦截和转发用户手机中的短信内容,以此来获取用户的个人隐私信息,如用户姓名、手机号、身份证号、银行卡账户、短信验证码、支付密码及各种登录账号和登录密码,会造成个人隐私泄漏等问题,同时攻击者还可利用盗取的用户信息盗刷银行账户、偷取用户财产等的目的,直接威胁到用户的个人隐私和财产安全。 0x01样本分析 “短信拦截马”最容易伪装成移动掌上营业厅、相册、 照片、图片、学习资料等的手机APP客户端,而用户中的木马病毒正是以“相册”命名的安卓恶意应用程序。 在拿到用户提供的病毒样本后,首先来看下这个病毒程序里都包含了哪些文件,如图: 图1:apk文件结构图 然后将这个apk程序逆向后查看AXML 文件,看看都申请了哪些权限,如图: 图2:病毒程序所使用的所有权限 从程序申请的短信、联系人、联网的权限来看,我们基本就可以确定这是一款“短信拦截马”的恶意病毒程序了,从AXML文件中,我们还能发现病毒作者还定义了两个属性,installLocation和excludeFromRecents,设置这两个属性的目的是不让程序安装到sdcard 中和隐藏最近任务,这样设置的目的是不让自身出现在最近程序列表中,减少被普通用户发现的概率。 图3:隐藏最近任务 接着,我们将该恶意程序拖到JEB中继续往下分析,病毒安装触发后会自动运行并隐藏自身启动图标。 图4:隐藏启动图标 木马还同时使用了“短信广播”和“观察者”两种模式来进行短信拦截,功能和其他拦截马一样都具备: 1)激活设备管理器防止被用户正常卸载; 2)禁用Main Activity组件隐藏图标; 3)短信通知攻击者中招肉鸡已上线; 4)异步邮件发送受害者通讯录以及短信记录; 5)启动后台服务进程实时监控用户短信和系统行为。 图5:诱导用户激活设备管理器防止卸载 Sevice主要功能: 1) 动态注册短信广播接收器和观察者模式; 2) 被destory后自动启动; 3) 判断木马是否过期。 图6:Sevice主要功能 图7:木马有效期 从上图有效期这点很明显就可以看出,使用这个木马的人是从其他地方购买的。 可以触发此拦截马行为的入口点还包括开机广播、网络切换广播、短信相关广播等。 图8:触发木马的行为机制 木马向控制手机回传部分短信时,为了防止手机中的安全软件进行监控拦截,还会过滤和替换了敏感关键词。 图9:过滤和替换敏感关键词 木马遍历完用户手机中的个人隐私信息后开始向木马制作者邮箱中发送短信,通过几天的时间,病毒作者的邮箱中就收到了上千条中招用户的通讯录和短信息,有点儿流弊有点儿犀利有点儿屌,部分数据内容如下: 图10:病毒作者邮箱保存的用户隐私信息 其实,进入短信拦截马的邮箱也不是什么难事儿,因为大部分类似的拦截马都会直接把账号和密码写在代码里,然后我们直接定位到关键代码调用的地方找到登录账号和密码就可以直接进去了(有个别的病毒会把邮箱的登录密码通过DES等加密方式进行加密,破解DES加密也不是什么难事)。 图11:病毒作者的邮箱账号和密码 然而对于拦截到的这些用户的个人信息,对于地下产业的人来讲,他们更关注的是银行等支付交易的验证码短信,当黑产团伙同时掌握了用户的银行卡信息和验证手机后,就可以通过拦截短信验证码的方式进行资金交易转账等一系列。 0x02拦截马整体功能流程图: 图12:短信拦截马功能实现流程 0x03拦截马黑产揭露 通过如上分析,我们基本可以了解制作这种短信拦截马的目的是什么?无利不起早,每个行业都必须是有利可图的,通过这种方式,黑客们很直接也很容易的就能盗取用户的个人利益并变为己有,从通过伪基站的方式定向发送社工欺诈短信,再到用户点击信息中包含的恶意链接,云服务器挂马诱导用户下载安装短信拦截马,再到欺骗用户输入个人信息等,最后攻击者通过拦截马转发到邮箱的网银验证码完成转账功能,这就是一个简单的拦截马功能,如下图,黑色产业链整体流程图: 图13:黑产流程图 “短信拦截马”的黑色产业链整体分工层次明确,从木马设计制作者开发售卖,再到木马分发扩散传播、出料洗料和最后的转账洗钱的过程,构成了整个黑色产业链的关键环节。 通过关键词“拦截马”或“拦截马 出售”等方式在Google和Baidu搜索引擎中搜索,我们可以看到很多关于此类木马信息的地下产业链揭露和样本分析等文章搜索结果,其中还有很多此类短信拦截马的交易信息: 图14:Baidu搜索结果 图15:Google搜索结果 下图为某项目外包网的关于安卓短信拦截马的相关开发和售卖等需求的发布信息: 图16:安卓拦截马的开发和售卖需求发布信息 从这些搜索结果来看,短信拦截马的供应链清晰且完整,相关部门对这种公开的非法行为并没有加强管理,黑客们依旧自由自在的翱翔于移动互联网中继续进行着网络和电信诈骗。 0x04总结: 其实,这类“短信拦截马”的技术原理及实现并不复杂,且利用的技术手段也大致相同,几乎都是通过注册ContenetObserver和BroadcastReceiver的方式来监控用户手机的短信收发过程和用户操作系统的行为,从而实现短信拦截和窃取用户个人隐私的恶意功能。 PC端互联网已经处于日渐饱和的状况,而移动互联网产业正在迅速的蓬勃发展中,随着时间的推移及移动智能设备的出现,移动支付也渐渐占据主流。伴随伪基站的出现,移动智能终端支付的安全性问题也日趋凸显。当前,Android应用的开发相对较为简单,结合目前较为流行的钓鱼网站,短信拦截马作为一个功能简单、开发成本低、获利颇高的非法牟利手段,很快就能在短时间内形成一套完整的黑色产业链。 “短信拦截马”家族此时还正继续在社会上传播蔓延,变种的速度也飞快,欺诈性也很强,传播渠道也很广,很容易造成大范围用户的重大经济损失以及个人隐私的泄露。希望用户能自我建立良好的上网习惯,以及对钓鱼网站和欺诈信息的高度警惕,一边在最大程度上避免自己的隐私和财产受到此类病毒诈骗的威胁。同时,用户还可以下载并使用瑞星手机安全助手对该类木马进行检测和查杀。
|