深度解读“短信拦截马”的黑产利益链

0×00概述

近期,我们接到多方用户电话,称安卓手机中毒,接到很多莫名其妙的陌生短信,短信内容中包含一个网址,点击后自动下载一个apk程序让用户安装,安装后又没发现病毒程序在自己的手机中。随后,工程师对此展开了调查,发现用户手机中中了一个叫“短信拦劫马”的病毒。其实类似的病毒已经不是什么新鲜事了,近几年一直非常火爆,最近这类病毒又卷土重来,爆发式的在社会上扩散传播,中招用户和受骗用户随之也越来越多。短信拦截马,顾名思义就是一种可以拦截到他人短信的木马,可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容私自发送到攻击者的手机和邮箱中。

短信拦截马的功能很简单、开发成本也很低,但更新变种的速度很快,涉及的样本量也非常庞大。此类木马最常见的手法是利用“你干过的事情别以为没有人知道”、“看你做的龌龊事”、“教育课程”、“移动兑换积分”等语句来诱导用户下载安装,在安装运行后病毒会在后台拦截和转发用户手机中的短信内容,以此来获取用户的个人隐私信息,如用户姓名、手机号、身份证号、银行卡账户、短信验证码、支付密码及各种登录账号和登录密码,会造成个人隐私泄漏等问题,同时攻击者还可利用盗取的用户信息达到盗刷银行账户、偷取用户财产等的目的,直接威胁到用户的个人隐私和财产安全。

0×01样本分析

“短信拦截马”最容易伪装成移动掌上营业厅、相册、 照片、图片、学习资料等手机APP客户端,而用户中的木马病毒正是以“相册”命名的安卓恶意应用程序。

在拿到用户提供的病毒样本后,首先来看下这个病毒程序里都包含了哪些文件,如图:

图1:apk文件结构图

然后将这个apk程序逆向后查看AXML 文件,看看都申请了哪些权限,如图:

图2:病毒程序所使用的所有权限

从程序申请的短信、联系人、联网的权限来看,我们基本就可以确定这是一款“短信拦截马”的恶意病毒程序了,从AXML文件中,我们还能发现病毒作者还定义了两个属性,installLocation和excludeFromRecents,设置这两个属性的目的是不让程序安装到sdcard中和隐藏最近任务,这样设置的目的是不让自身出现在最近程序列表中,减少被普通用户发现的概率。

图3:隐藏最近任务

接着,我们将该恶意程序拖到JEB中继续往下分析,病毒安装触发后会自动运行并隐藏自身启动图标。

图4:隐藏启动图标

木马还同时使用了“短信广播”和“观察者”两种模式来进行短信拦截,功能和其他拦截马一样都具备:

1)激活设备管理器防止被用户正常卸载;

2)禁用MainActivity组件隐藏图标;

3)短信通知攻击者中招肉鸡已上线;

4)异步邮件发送受害者通讯录以及短信记录;

5)启动后台服务进程实时监控用户短信和系统行为。

图5:诱导用户激活设备管理器防止卸载

Sevice主要功能

1)动态注册短信广播接收器和观察者模式;

2)被destory后自动启动;

3)判断木马是否过期。

图6:Sevice主要功能

图7:木马有效期

从上图有效期这点很明显就可以看出,使用这个木马的人是从其他地方购买的。

可以触发此拦截马行为的入口点还包括开机广播、网络切换广播、短信相关广播等。

图8:触发木马的行为机制

木马向控制手机回传部分短信时,为了防止手机中的安全软件进行监控拦截,还会过滤和替换了敏感关键词。

图9:过滤和替换敏感关键词

木马遍历完用户手机中的个人隐私信息后开始向木马制作者邮箱中发送短信,通过几天的时间,病毒作者的邮箱中就收到了上千条中招用户的通讯录和短信息,有点儿流弊有点儿犀利有点儿屌,部分数据内容如下:

图10:病毒作者邮箱保存的用户隐私信息

其实,进入短信拦截马的邮箱也不是什么难事儿,因为大部分类似的拦截马都会直接把账号和密码写在代码里,然后我们直接定位到关键代码调用的地方找到登录账号和密码就可以直接进去了(有个别的病毒会把邮箱的登录密码通过DES等加密方式进行加密,破解DES加密也不是什么难事)。

图11:病毒作者的邮箱账号和密码

然而对于拦截到的这些用户的个人信息,对于地下产业的人来讲,他们更关注的是银行等支付交易的验证码短信,当黑产团伙同时掌握了用户的银行卡信息和验证手机后,就可以通过拦截短信验证码的方式进行资金交易转账等一系列。

0×02拦截马整体功能流程图

图12:短信拦截马功能实现流程

0×03拦截马黑产揭露

通过如上分析,我们基本可以了解制作这种短信拦截马的目的是什么?无利不起早,每个行业都必须是有利可图的,通过这种方式,黑客们很直接也很容易的就能盗取用户的个人利益并变为己有,从通过伪基站的方式定向发送社工欺诈短信,再到用户点击信息中包含的恶意链接,云服务器挂马诱导用户下载安装短信拦截马,再到欺骗用户输入个人信息等,最后攻击者通过拦截马转发到邮箱的网银验证码完成转账功能,这就是一个简单的拦截马功能,如下图,黑色产业链整体流程图

图13:黑产流程图

“短信拦截马”的黑色产业链整体分工层次明确,从木马设计制作者开发售卖,再到木马分发扩散传播、出料洗料和最后的转账洗钱的过程,构成了整个黑色产业链的关键环节。

通过关键词“拦截马”或“拦截马 出售”等方式在Google和Baidu搜索引擎中搜索,我们可以看到很多关于此类木马信息的地下产业链揭露和样本分析等文章搜索结果,其中还有很多此类短信拦截马的交易信息:

图14:Baidu搜索结果

图15:Google搜索结果

下图为某项目外包网的关于安卓短信拦截马的相关开发和售卖等需求的发布信息:

图16:安卓拦截马的开发和售卖需求发布信息

从这些搜索结果来看,短信拦截马的供应链清晰且完整,相关部门对这种公开的非法行为并没有加强管理,黑客们依旧自由自在的翱翔于移动互联网中继续进行着网络和电信诈骗。

0×04总结

其实,这类“短信拦截马”的技术原理及实现并不复杂,且利用的技术手段也大致相同,几乎都是通过注册ContenetObserver和BroadcastReceiver的方式来监控用户手机的短信收发过程和用户操作系统的行为,从而实现短信拦截和窃取用户个人隐私的恶意功能。

PC端互联网已经处于日渐饱和的状况,而移动互联网产业正在迅速的蓬勃发展中,随着时间的推移及移动智能设备的出现,移动支付也渐渐占据主流。伴随伪基站的出现,移动智能终端支付的安全性问题也日趋凸显。当前,Android应用的开发相对较为简单,结合目前较为流行的钓鱼网站,短信拦截马作为一个功能简单、开发成本低、获利颇高的非法牟利手段,很快就能在短时间内形成一套完整的黑色产业链。

“短信拦截马”家族此时还正继续在社会上传播蔓延,变种的速度也飞快,欺诈性也很强,传播渠道也很广,很容易造成大范围用户的重大经济损失以及个人隐私的泄露。希望用户能自我建立良好的上网习惯,以及对钓鱼网站和欺诈信息的高度警惕,一边在最大程度上避免自己的隐私和财产受到此类病毒诈骗的威胁。

*作者:Kimbel@瑞星(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,132评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,802评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,566评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,858评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,867评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,695评论 1 282
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,064评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,705评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,915评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,677评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,796评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,432评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,041评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,992评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,223评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,185评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,535评论 2 343

推荐阅读更多精彩内容