百度安全实验室

黑产揭秘 :“短信拦截马”

时间:2017/04/20   作者:匿名

 

 

一、概述

 

随着移动互联网多年发展,移动端转账、网购、快捷支付日渐大众化。然而存在的移动安全风险会直接影响到的用户隐私甚至影响到用户财产问题。其背后“短信拦截马“制作、传播及攻击等流程实现窃取用户隐私的黑产业渐渐成熟。至今“短信拦截马”变种病毒传播途径呈现多样化,而且使用加固、混淆、加密等技术手段来对抗安全软件的查杀。

 

百度手机安全团队监控到“短信拦截马”家族恶意病毒数量迅速攀升,今年年初到至今近3个月的时间已监控到超过10万以上的短信拦截马变种在通过各种渠道传播。数据显示比去年同期猛增100%以上。

 

1.传播途径

 

“短信拦截马”病毒传播途径有以下几种:

(一) 利用使用范围较广的QQ,微信、微博,博客,网盘等工具不断传播。传播内容主要是伪造用户关注话题内容加上下载恶意应用链接。
(二) 通过伪基站群发诈骗短信。伪造中奖短信,积分换礼包等短信内容附带钓鱼网站链接传播。
(三) 通过第三方平台生成下载链接,诱导用户扫描二维码下载手机病毒。
 

2.攻击方式

 
钓鱼网站和伪基站组合攻击是“短信拦截马”病毒典型攻击方式。
 

攻击步骤如下:

 
(一) 注册伪造运营商或者金融行业网站域名制作钓鱼网站。
(二) 通过伪基站发送附带钓鱼网址链接短信诱导用户点击下载。
(三) 用户安全意识缺乏导致安装并且运行病毒之后会不知不觉窃取敏感信息。

message1

通过伪基站发送伪造短信内容

 

伪基站发短信一小时发送数量可高达10万条。通过伪基站群发短信时接收者短信显示的发送者号码可以任意修改。比如发送者号码改为10086,95533等正规短信平台发送号码。

 

3.关键技术

 

黑产团伙制作“短信拦截马”病毒过程中普遍使用的关键技术点:

(一)伪图标
伪装运营商图标、伪装金融图标、色情类图标,诱导手机用户下载安装“短信拦截马”病毒。
(二)隐藏图标
隐藏图标主要目的是防止用户卸载病毒。
(三)字符串加密
为了躲避手机杀毒软件检测会把敏感数据加密。比如 电话号、邮箱地址、服务器地址等。
(四)代码混淆
混淆过的java代码执行结果跟混淆前一样,只不过是混淆器将代码中的所有变量、函数、类名替换为短字母或者随机字母。病毒中使用混淆技术主要目的为躲避手机杀毒软件检测和防止安全人员易分析代码逻辑。
(五)加固应用
加固厂商提供加固服务是为了保护开发者应用不要被第三者破解,由于审核方面不严谨导致恶意应用合法的加固并且躲避杀毒软件查杀。
 
 

二、威胁数据统计

 

Statistic_list

 
2016年11月份开始到2017年3月,每个月“短信拦截马”变种增长数量平均3万以上。

现状及增长趋势

final_sample_growth_trend

 
 

近几年“短信拦截马”样本量变化

final_sample_rq

 
 
手机被病毒感染后会被监控收发短信状态,应用卸载,监控手机状态等目的而恶意使用过的手机号码。广东省地区恶意使用手机号码最多高达1万以上。

远控手机号分布

map_list

 
 
邮箱地址被恶意利用,收发用户隐私信息内容。

邮箱地址分布图

final_email_image

 
 

云端,C&C服务器,博客等多种传播途径下载“短信拦截马”有效地址数量达到59588个。其中伪造10086网址域名已达到10828个。

 

C&C服务器分布

download_info

 
 
手机被病毒感染后通讯录信息会通过发送邮件方式发送给病毒制作人指定邮箱地址。据统计湖北省多达3万以上用户通讯录信息泄露。

泄露通讯录信息分布

city_list

 
 

三、 黑产溯源-案例分析

 
发现“短信拦截马”家族恶意应用中恶意代码树结构、组件信息、恶意行为逻辑相似度较,近期传播量较高样本数量达到10万以上。
 

1.应用分析

 
利用移动安全分析组内部自研开发系统大数据平台跟踪 “短信拦截马”恶意代码中定位到lanjiema.com定制拦截马服务恶意网站。首先网站中描述定制拦截马测试版应用作为入口一步步发隐擿伏。

应用基本信息

图[1] 应用基本信息

 
(一) 代码逻辑&恶意行为
 
定制“短信拦截马”测试版应用恶意行为。
• 激活设备管理器
• 隐藏图标
• 利用漏洞防卸载应用
• 监控手机状态
• 通过邮箱发送窃取用户短信
 
树结构无变化甚至类名基本相同,只修改代码中一小部分敏感内容(手机号码,邮箱地址等)持续传播。

jd-gui_code

图[2] 代码结构

 
(二) 通过收发邮件窃取用户隐私
 

email_image

图[3] 用户手机隐私发送至指定邮箱地址

 
(三) 获取病毒作者信息

通过烟鬼测试版应用静态分析代码中可知窃取用户隐私接收邮箱地址为“手机号@163.com”,已确认邮箱地址是此手机号码注册的。除了注册邮箱地址以外微信和支付宝绑定也使用同一个手机号。

 

wechat_zhifubao

图[4] 支付宝&微信注册信息

 

2.揭秘www.lanjiema.com定制拦截马服务网站

“黑产业越来越胆量过人,定制拦截马网站域名出乎意料竟然选择手机流行病毒相关词拼音组合lanjiema.com。网站中介绍可以定制短信拦截马,还有微信余额马,支付宝余额马,钓鱼网站。类似网站 。

lanjiemacom

图[6] 拦截马定制服务网站www.lanjiema.com 内容

 
(一) 定制”短信拦截马”服务流程
 
购马者需下载并安装控制端安卓版app
运行APP使用QQ快捷登录授权
购买授权。(拦截马使用期限)
•测试卡(300元)10天
•正式卡(500元)20天
•代理卡(800元)30天
•本软件可在APP中自助购买*代码中设置日期可以控制测试卡,正式卡,代理卡不同使用时间。
 
已安装控制端运行结果图[2]可以自选拦截马图标,应用名,拦截马生成链接、最后点击上传按钮。后台收到请求以后会在原有的拦截马应用修改接收短信手机号,发送邮箱地址,接收邮箱地址,使用期限。通过各种渠道传播病毒下载链接,手机用户被病毒感染后会泄漏敏感信息。

pe_app

图[7] 定制短信拦截马服务流程介绍

 
(二) 域名信息
 
所有者名字和注册域名QQ邮箱地址,对于揭秘lanjiema.com网站时提供关键作用。

whois

图[8] 域名查询结果

 
(三) 通过ip地址查询多个恶意域名。

hostname

图[9] 域名对应IP地址信息

 
(四) 通过域名信息搜索更多相关内容
 
利用lanjiema.com域名注册所有者QQ邮箱地址搜索结果

google_search

图[10] 通过Google浏览器搜索结果

 
lanjiema.com域名所有者注册过多个定制拦截马服务网站并且一直维护。其中sachina888.com和southwestchina.cc网站主界面右上角名片信息中邮箱地址和lanjiema.com注册域名所有者邮箱地址是一致,并且通过图[4]微信&支付宝信息和网站中名片信息是一致的。

yangui_host

图[11] 定制拦截马网站相关信息

 
“短信拦截马”变种应用大多数为使用以下图标给购马者定制以及传播。

Trojan_icon_list

图[12] 变种“短信拦截马” 应用图标和应用名信息

 

四、安全提示

 
 

 • 建议通过知名度较高的应用市场下载应用。

 • 已下载的文件通过百度手机卫士等安全软件确认无危害之后安装。

 • 不建议访问不受信任的网站。

 • 不建议点击短信内容中包含的未知网址。

 • 不建议使用公共WiFi。

 • 不建议root手机。

 • 手机出现异常时通过百度手机卫士等安全软件扫描确认。

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有