揭秘:短信攔截木馬背后的黑色產業
責編:admin |2014-10-11 20:17:500×01 概述
從2013年5月至今,AVL移動安全團隊持續監測到了一類高活躍高危害的短信攔截類型木馬。短信攔截馬,顧名思義是一種可以攔截他人短信木馬,就是讓被攻擊者收不到短信,并將短信內容截取到攻擊者手機上。
此類木馬目前最常見的是通過釣魚、誘騙、欺詐等方式誘導用戶裝上木馬,然后通過攔截轉發用戶短信內容,以此獲取各種用戶重要的個人隱私信息,如用戶姓名、身份證號碼、銀行卡賬戶、支付密碼及各種登錄賬號和密碼等,造成這些信息的泄露,再利用此信息從而達到竊取用戶資金的目的,嚴重威脅用戶的財產安全。
另外,此前流行的“XX神器”也有短信攔截轉發的功能。
0×02 數據統計
短信攔截馬功能簡單、開發成本低,但更新變化速度快,偽裝目標不斷更換,涉及樣本量比較龐大。從最早13年5月出現到14年9月,共截獲該類木馬將近2萬個。
1、活躍曲線
從13年5月起,AVL移動安全中心每月都能監控到該類木馬,從其活躍曲線可以看到其呈現不斷增長的趨勢:
2、行為分布
短信攔截馬其行為主要是攔截并轉發短信來竊取隱私,此外部分還帶有誘騙欺詐、遠程控制、資費消耗、惡意扣費等。從下圖攔截馬主要行為分布可以發現誘騙欺詐、遠程控制、資費消耗都占有不小的比例:
3、樣本包名Top 20
下圖為樣本包名Top 20,從中可以發現最多的是偽裝成Android系統應用名,其次則是example、test等測試名稱:
4、偽裝應用Top 10
樣本偽裝應用Top 10,不出意外的中國移動最多,下圖中其實還有移動客戶端、10086、移動掌上營業廳、掌上營業廳、移動營業廳都屬于偽裝的移動應用,其次則是偽裝的淘寶”淘分享”:
0×03 對抗情況
攔截馬家族發展迅速,持續的演變過程中便不得不與安全軟件查殺對抗,除了常規惡意代碼手段,攔截馬家族更喜歡采用加殼這種簡單有效的手段。頻繁更換修改加殼方式,高頻率持續更新以保證繞過安全軟件,攔截馬對抗頗有09年PC上的免殺趨勢。
下圖為攔截馬家族加殼樣本捕獲情況,從圖中可見從攔截馬最早出現的時候就已經開始有使用加殼技術了,不過直到2014年6月才開始持續增長,而現在正是高速爆發時期:
下圖為攔截馬加殼樣本與當月樣本數的統計情況,攔截馬的捕獲數量依然在持續增長,而加殼樣本比例亦在增加:
對攔截馬加殼樣本所采用的加殼方案做了一下統計,其中大部分都在使用apkprotect這一加固方案,而其他方案則少許多:
加固是一把雙刃劍,保護開發者APP的同時也成為木馬作者的一把”保護傘”,希望諸多加固公司能在加固應用前多做惡意代碼審核工作。
0×04 黑產揭露
1、攔截馬黑色產業鏈
攔截馬的爆發必然有其原因,根據AVL團隊研究人員多方采證以及臥底取證,最終還原了其完整的黑色產業鏈:
從偽基站發送偽造釣魚網站地址,再到用戶訪問釣魚網站,欺騙用戶輸入個人信息,網站掛馬誘導用戶下載安裝短信攔截木馬,最后攻擊者在線轉賬時通過攔截馬轉發網銀驗證碼完成轉賬,這就是一個簡單的攔截馬工具模型。
攔截馬黑色產業鏈分工明確結構簡單,主要由以下四部分組成:
1.開發售賣:這部分主要是攔截馬木馬的開發以及免殺、釣魚網站的開發出售、偽基站的出售;
2.木馬分發:廣撒網才能多收魚,攔截馬分發手段主要有釣魚短信、網站掛馬、二維碼傳播;
3.竊取售賣:攔截馬植入成功即可獲取攔截短信,但黑產關注的信息主要在于各大銀行、支付寶、游戲點卡、運營商話費充值卡、Q幣等等,這些信息都是可以直接交易;
4.洗錢:洗錢也是技術活,生意好的日入上萬不是夢,雖然洗錢是獲利最多的,但同時也是風險也最大。
文章最后附有研究人員潛伏攔截馬交易群所收集到的部分相關聊天證據記錄截圖。
2、相關產業
百度搜索攔截馬就有118萬個結果,其中有產業鏈揭露、樣本破解分析,但更多則是交易信息:
一、木馬開發
下圖為豬八戒網的開發需求,可見攔截馬開發及免殺依然持續中的;不過攔截馬功能比較簡單,開發成本較低,即便免殺也通常使用已有加固方案,所以圖中給的報酬都比較低:
二、偽基站
偽基站是近幾年開始流行的,黑產中通常用于發送偽造短信誘導用戶進入釣魚網站,如下圖即是一個偽造的工行短信,值得注意的是其使用了gov.cn域名下的子頁,相對加強了權威性而降低了用戶警惕:
另外偽基站還有如下詐騙的使用方式,通過偽造短信來恐嚇用戶來進行詐騙行為,不久前”小龍女”李若彤經紀人造電信詐騙百萬以上,手法就與此類似:
三、釣魚網站
攔截馬樣本中最愛偽裝中國移動,所以同時也發現了大量的山寨中國移動釣魚網站,此類網站通常以積分兌換現金來誘騙用戶輸入相關銀行帳號信息,同時誘導用戶下載安裝短信攔截木馬:
四、洗錢
利益所趨,正是攔截馬火爆的主要原因。下圖為某黑產人員曝光的攔截馬洗錢記錄,可謂日入上萬不是夢:
0×05 總結
隨著時間的推移,移動通信技術的發展,智能手機的出現,移動支付也漸漸占據主流。但由于手機支付安全問題日益突出,加上Android應用開發的簡單,以及偽基站的出現,加固方案的發展,再結合流行已久的釣魚網站,短信攔截馬作為一個功能簡單開發成本低,但獲利頗高的黑色行業,不可避免的在短時間內便形成了其完整的產業鏈。
短信攔截馬家族此刻正處在高速爆發時期,無論數量還是質量都有著明顯的提高,尤其大量加殼對抗樣本的出現,給安全公司分析人員造成了極大的困擾。在此希望諸多加固公司在對應用加固的時候,能多做一些惡意代碼審核工作,避免與安全公司陷入加殼脫殼無窮盡的內耗中,而使惡意代碼漁翁得利。
攔截馬家族變化速度快,對抗強度高,傳播渠道廣,欺騙性強,極易造成用戶重大經濟損失以及隱私泄露。隨著攔截馬家族的爆發,同時更會不斷產生著大量的偽基站詐騙短信以及釣魚網站,希望用戶能保持良好的安全上網習慣,以及對釣魚欺詐的警覺,可以極大避免此類威脅。同時用戶可以下載并使用AVL Pro對該類木馬進行檢測和查殺。
0×06 參考
警惕手機釣魚網站植入木馬,http://blog.avlyun.com/713.html
警惕手機釣魚網站植入木馬—電信篇,http://blog.avlyun.com/1283.html
探秘短信馬產業鏈-從逆向到爆菊 http://drops.wooyun.org/tips/789
11月最新灰色項目,短信攔截馬,支付寶銀行卡有多少洗多少!http://www.80lou.com/thread-425719-1-1.html
0×07 附-攔截馬交易群部分聊天記錄
從聊天記錄可以大致還原攔截馬完整的黑產鏈,從木馬開發、免殺、偽基站、釣魚網站、攔截料交易、洗錢,無一不有: