压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　0×01 概述

　　從2013年5月至今，AVL移動安全團隊持續(xù)監(jiān)測到了一類高活躍高危害的短信攔截類型木馬。短信攔截馬，顧名思義是一種可以攔截他人短信木馬，就是讓被攻擊者收不到短信，并將短信內(nèi)容截取到攻擊者手機上。

　　此類木馬目前最常見的是通過釣魚、誘騙、欺詐等方式誘導(dǎo)用戶裝上木馬，然后通過攔截轉(zhuǎn)發(fā)用戶短信內(nèi)容，以此獲取各種用戶重要的個人隱私信息，如用戶姓名、身份證號碼、銀行卡賬戶、支付密碼及各種登錄賬號和密碼等，造成這些信息的泄露，再利用此信息從而達到竊取用戶資金的目的，嚴(yán)重威脅用戶的財產(chǎn)安全。

　　另外，此前流行的“XX神器”也有短信攔截轉(zhuǎn)發(fā)的功能。

　　0×02 數(shù)據(jù)統(tǒng)計

　　短信攔截馬功能簡單、開發(fā)成本低，但更新變化速度快，偽裝目標(biāo)不斷更換，涉及樣本量比較龐大。從最早13年5月出現(xiàn)到14年9月，共截獲該類木馬將近2萬個。

　　1、活躍曲線

　　從13年5月起，AVL移動安全中心每月都能監(jiān)控到該類木馬，從其活躍曲線可以看到其呈現(xiàn)不斷增長的趨勢：

　　2、行為分布

　　短信攔截馬其行為主要是攔截并轉(zhuǎn)發(fā)短信來竊取隱私，此外部分還帶有誘騙欺詐、遠(yuǎn)程控制、資費消耗、惡意扣費等。從下圖攔截馬主要行為分布可以發(fā)現(xiàn)誘騙欺詐、遠(yuǎn)程控制、資費消耗都占有不小的比例：

　　3、樣本包名Top 20

　　下圖為樣本包名Top 20，從中可以發(fā)現(xiàn)最多的是偽裝成Android系統(tǒng)應(yīng)用名，其次則是example、test等測試名稱：

　　4、偽裝應(yīng)用Top 10

　　樣本偽裝應(yīng)用Top 10，不出意外的中國移動最多，下圖中其實還有移動客戶端、10086、移動掌上營業(yè)廳、掌上營業(yè)廳、移動營業(yè)廳都屬于偽裝的移動應(yīng)用，其次則是偽裝的淘寶”淘分享”：

　　0×03 對抗情況

　　攔截馬家族發(fā)展迅速，持續(xù)的演變過程中便不得不與安全軟件查殺對抗，除了常規(guī)惡意代碼手段，攔截馬家族更喜歡采用加殼這種簡單有效的手段。頻繁更換修改加殼方式，高頻率持續(xù)更新以保證繞過安全軟件，攔截馬對抗頗有09年P(guān)C上的免殺趨勢。

　　下圖為攔截馬家族加殼樣本捕獲情況，從圖中可見從攔截馬最早出現(xiàn)的時候就已經(jīng)開始有使用加殼技術(shù)了，不過直到2014年6月才開始持續(xù)增長，而現(xiàn)在正是高速爆發(fā)時期：

　　下圖為攔截馬加殼樣本與當(dāng)月樣本數(shù)的統(tǒng)計情況，攔截馬的捕獲數(shù)量依然在持續(xù)增長，而加殼樣本比例亦在增加：

　　對攔截馬加殼樣本所采用的加殼方案做了一下統(tǒng)計，其中大部分都在使用apkprotect這一加固方案，而其他方案則少許多：

　　加固是一把雙刃劍，保護開發(fā)者APP的同時也成為木馬作者的一把”保護傘”，希望諸多加固公司能在加固應(yīng)用前多做惡意代碼審核工作。

　　0×04 黑產(chǎn)揭露

　　1、攔截馬黑色產(chǎn)業(yè)鏈

　　攔截馬的爆發(fā)必然有其原因，根據(jù)AVL團隊研究人員多方采證以及臥底取證，最終還原了其完整的黑色產(chǎn)業(yè)鏈：

　　從偽基站發(fā)送偽造釣魚網(wǎng)站地址，再到用戶訪問釣魚網(wǎng)站，欺騙用戶輸入個人信息，網(wǎng)站掛馬誘導(dǎo)用戶下載安裝短信攔截木馬，最后攻擊者在線轉(zhuǎn)賬時通過攔截馬轉(zhuǎn)發(fā)網(wǎng)銀驗證碼完成轉(zhuǎn)賬，這就是一個簡單的攔截馬工具模型。

　　攔截馬黑色產(chǎn)業(yè)鏈分工明確結(jié)構(gòu)簡單，主要由以下四部分組成：

　　1.開發(fā)售賣：這部分主要是攔截馬木馬的開發(fā)以及免殺、釣魚網(wǎng)站的開發(fā)出售、偽基站的出售；

　　2.木馬分發(fā)：廣撒網(wǎng)才能多收魚，攔截馬分發(fā)手段主要有釣魚短信、網(wǎng)站掛馬、二維碼傳播；

　　3.竊取售賣：攔截馬植入成功即可獲取攔截短信，但黑產(chǎn)關(guān)注的信息主要在于各大銀行、支付寶、游戲點卡、運營商話費充值卡、Q幣等等，這些信息都是可以直接交易；

　　4.洗錢：洗錢也是技術(shù)活，生意好的日入上萬不是夢，雖然洗錢是獲利最多的，但同時也是風(fēng)險也最大。

　　文章最后附有研究人員潛伏攔截馬交易群所收集到的部分相關(guān)聊天證據(jù)記錄截圖。

　　2、相關(guān)產(chǎn)業(yè)

　　百度搜索攔截馬就有118萬個結(jié)果，其中有產(chǎn)業(yè)鏈揭露、樣本破解分析，但更多則是交易信息：

　　一、木馬開發(fā)

　　下圖為豬八戒網(wǎng)的開發(fā)需求，可見攔截馬開發(fā)及免殺依然持續(xù)中的；不過攔截馬功能比較簡單，開發(fā)成本較低，即便免殺也通常使用已有加固方案，所以圖中給的報酬都比較低：

　　二、偽基站

　　偽基站是近幾年開始流行的，黑產(chǎn)中通常用于發(fā)送偽造短信誘導(dǎo)用戶進入釣魚網(wǎng)站，如下圖即是一個偽造的工行短信，值得注意的是其使用了gov.cn域名下的子頁，相對加強了權(quán)威性而降低了用戶警惕：

　　另外偽基站還有如下詐騙的使用方式，通過偽造短信來恐嚇用戶來進行詐騙行為，不久前”小龍女”李若彤經(jīng)紀(jì)人造電信詐騙百萬以上，手法就與此類似：

　　三、釣魚網(wǎng)站

　　攔截馬樣本中最愛偽裝中國移動，所以同時也發(fā)現(xiàn)了大量的山寨中國移動釣魚網(wǎng)站，此類網(wǎng)站通常以積分兌換現(xiàn)金來誘騙用戶輸入相關(guān)銀行帳號信息，同時誘導(dǎo)用戶下載安裝短信攔截木馬：

　　四、洗錢

　　利益所趨，正是攔截馬火爆的主要原因。下圖為某黑產(chǎn)人員曝光的攔截馬洗錢記錄，可謂日入上萬不是夢：

　　0×05 總結(jié)

　　隨著時間的推移，移動通信技術(shù)的發(fā)展，智能手機的出現(xiàn)，移動支付也漸漸占據(jù)主流。但由于手機支付安全問題日益突出，加上Android應(yīng)用開發(fā)的簡單，以及偽基站的出現(xiàn)，加固方案的發(fā)展，再結(jié)合流行已久的釣魚網(wǎng)站，短信攔截馬作為一個功能簡單開發(fā)成本低，但獲利頗高的黑色行業(yè)，不可避免的在短時間內(nèi)便形成了其完整的產(chǎn)業(yè)鏈。

　　短信攔截馬家族此刻正處在高速爆發(fā)時期，無論數(shù)量還是質(zhì)量都有著明顯的提高，尤其大量加殼對抗樣本的出現(xiàn)，給安全公司分析人員造成了極大的困擾。在此希望諸多加固公司在對應(yīng)用加固的時候，能多做一些惡意代碼審核工作，避免與安全公司陷入加殼脫殼無窮盡的內(nèi)耗中，而使惡意代碼漁翁得利。

　　攔截馬家族變化速度快，對抗強度高，傳播渠道廣，欺騙性強，極易造成用戶重大經(jīng)濟損失以及隱私泄露。隨著攔截馬家族的爆發(fā)，同時更會不斷產(chǎn)生著大量的偽基站詐騙短信以及釣魚網(wǎng)站，希望用戶能保持良好的安全上網(wǎng)習(xí)慣，以及對釣魚欺詐的警覺，可以極大避免此類威脅。同時用戶可以下載并使用AVL Pro對該類木馬進行檢測和查殺。

　　0×06 參考

　　警惕手機釣魚網(wǎng)站植入木馬，http：//blog.avlyun.com/713.html

　　警惕手機釣魚網(wǎng)站植入木馬—電信篇，http：//blog.avlyun.com/1283.html

　　探秘短信馬產(chǎn)業(yè)鏈-從逆向到爆菊 http：//drops.wooyun.org/tips/789

　　11月最新灰色項目，短信攔截馬，支付寶銀行卡有多少洗多少！http：//www.80lou.com/thread-425719-1-1.html

　　0×07 附-攔截馬交易群部分聊天記錄

　　從聊天記錄可以大致還原攔截馬完整的黑產(chǎn)鏈，從木馬開發(fā)、免殺、偽基站、釣魚網(wǎng)站、攔截料交易、洗錢，無一不有：