最近一段時間,“短信攔截馬”頻繁活躍在各大Android平臺上,該木馬主要以竊取使用者隱私為目的,然後利用盜取的使用者資訊盜刷銀行帳戶、偷取用戶財產等,從而造成用戶的隱私洩露、財產損失等危害。
短信攔截馬,顧名思義就是一種可以攔截到他人短信的木馬,可以控制攔截用戶手機中收到的短信,讓用戶無法即時收到短信,並將用戶手機中的短信內容私自發送到攻擊者的手機和郵箱中。
瑞星安全研究人員通過對“短信攔截馬”研究分析發現,短信攔截馬最容易偽裝成移動掌上營業廳、淘寶、支付寶、相冊、視頻、學習資料等的手機APP用戶端,讓用戶以為是官方APP放鬆警惕,從而誘導用戶安裝運行。
“短信攔截馬”為了防止安全人員逆向分析研究,將代碼進行混淆,但是包內檔結構一致,內容也很類似。
木馬運行後為了獲取裝置管理員許可權,會在啟動介面上提示使用者“提高許可權獲取保護”等詞語誘導用戶啟動裝置管理員許可權,用戶一旦啟動此許可權,木馬病du便會隱藏自身圖示,很難被卸載。如果用戶選擇取消啟動裝置管理員,木馬病du則會彈出警告: “謹慎操作!取消啟動可能會影響手機正常使用”等字語威脅用戶。
圖:提示用戶啟動裝置管理員許可權
當“短信攔截馬”程式安裝完畢後,木馬便遍歷使用者手機中的個人隱私資訊,如通訊錄、短信等,然後將獲取的資訊發送到攻擊者的郵箱中。然而,黑產更關注的是銀行等支付交易的驗證碼短信,當黑產團夥同時掌握了使用者的銀行卡資訊和驗證手機後,就可以通過攔截短信驗證碼的方式進行資金交易轉帳等一系列操作。
其實,這類“短信攔截馬”的技術原理及實現並不複雜,且利用的技術手段也大致相同,幾乎都是通過註冊短信廣播或者觀察模式監控手機短信的收發過程,從而實現短信攔截和竊取用戶個人隱私的惡意功能。
PC端互聯網已經處於日漸飽和的狀況,而移動互聯網產業正在迅速的蓬勃發展中,隨著時間的推移及移動智慧設備的出現,移動支付也漸漸佔據主流。伴隨偽基站的出現,移動智慧終端機支付的安全性問題也日趨凸顯。當前,Android應用的開發相對較為簡單,結合目前較為流行的釣魚網站,短信攔截馬作為一個功能簡單、開發成本低、獲利頗高的非法牟利手段,很快就能在短時間內形成一套完整的黑色產業鏈。
瑞星安全研究人員介紹,“短信攔截馬”家族此時還正繼續在社會上傳播蔓延,變種的速度也很快,欺詐性也很強(+微信關注網路世界),傳播管道也很廣,很容易造成大範圍的經濟損失以及個人隱私的洩露。希望用戶能自我建立良好的上網習慣,以及對釣魚網站和欺詐資訊的高度警惕,最大程度上避免自己的隱私和財產受到此類病du詐騙的威脅。同時,用戶還可以下載並使用瑞星手機安全助手對該類木馬進行檢測和查殺。
病du詳細分析
木馬安裝成功後,會給攻擊者的手機發送一條短信,提示該木馬安裝完畢。
圖:發送識別碼
木馬將盜取用戶的短信、通訊錄等通過SMTP協議發送到指定的郵箱。由於使用SMTP協定發送郵件,需要寄件者的郵箱帳號密碼。所以樣本中內置了牧馬人的發件郵箱帳號密碼。
圖:使用163發信
早期樣本中,發件郵箱帳號和密碼都是明文形式存在檔中,隨著樣本的升級,病du作者以加密形式保存了此資訊,但是通過調試也很容易解密出發件郵箱的帳號密碼。使用郵件收信在很早之前的木馬中流行過,但因為要內置發件郵箱的帳號密碼,這種方法很早就被淘汰,此木馬中仍然使用郵箱發件,足可看出該木馬的水準非常底下。
圖:加密過的郵箱帳號密碼
該木馬還會替換收件資訊內容中的敏感字,逃避殺du軟體和一些流量郵件監控軟體的檢測。
圖:敏感字替換
樣本安裝運行後還會向用戶的所有連絡人發送短信進行惡意傳播,內容為: 我給你錄了視頻你看下 123.60.159.122/Zet 。當連絡人收到該短信訪問此連結後又會下載該木馬病du。
圖:木馬通過短信傳播
樣本 資訊