文档章节

短信拦截马黑产揭露

骑牛找牛
 骑牛找牛
发布于 2014/10/13 11:18
字数 2569
阅读 625
收藏 6
点赞 0
评论 0

概述

从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被攻击者收不到短信,并将短信内容截取到攻击者手机上。

此类木马目前最常见的是通过钓鱼、诱骗、欺诈等方式诱导用户装上木马,然后通过拦截转发用户短信内容,以此获取各种用户重要的个人隐私信息,如用户姓名、身份证号码、银行卡账户、支付密码及各种登录账号和密码等,造成这些信息的泄露,再利用此信息从而达到窃取用户资金的目的,严重威胁用户的财产安全。

另外,此前流行的”XX神器”也有短信拦截转发的功能。

数据统计

短信拦截马功能简单、开发成本低,但更新变化速度快,伪装目标不断更换,涉及样本量比较庞大。从最早13年5月出现到14年9月,共截获该类木马将近2万个。

活跃曲线

从13年5月起,AVL移动安全中心每月都能监控到该类木马,从其活跃曲线可以看到其呈现不断增长的趋势:

7

图1 拦截马样本捕获情况

行为分布

短信拦截马其行为主要是拦截并转发短信来窃取隐私,此外部分还带有诱骗欺诈、远程控制、资费消耗、恶意扣费等。从下图拦截马主要行为分布可以发现诱骗欺诈、远程控制、资费消耗都占有不小的比例:

4.1

图2 拦截马主要行为分布

样本包名Top 20

下图为样本包名Top 20,从中可以发现最多的是伪装成Android系统应用名,其次则是example、test等测试名称:

5

图3 拦截马伪装包名Top 20

伪装应用Top 10

样本伪装应用Top 10,不出意外的中国移动最多,下图中其实还有移动客户端、10086、移动掌上营业厅、掌上营业厅、移动营业厅都属于伪装的移动应用,其次则是伪装的淘宝”淘分享”:

3

图4 拦截马伪装应用Top 10

对抗情况

拦截马家族发展迅速,持续的演变过程中便不得不与安全软件查杀对抗,除了常规恶意代码手段,拦截马家族更喜欢采用加壳这种简单有效的手段。频繁更换修改加壳方式,高频率持续更新以保证绕过安全软件,拦截马对抗颇有09年PC上的免杀趋势。

下图为拦截马家族加壳样本捕获情况,从图中可见从拦截马最早出现的时候就已经开始有使用加壳技术了,不过直到2014年6月才开始持续增长,而现在正是高速爆发时期:

2

图5 拦截马加壳样本捕获情况

下图为拦截马加壳样本与当月样本数的统计情况,拦截马的捕获数量依然在持续增长,而加壳样本比例亦在增加:

1

图6拦截马加壳样本统计

对拦截马加壳样本所采用的加壳方案做了一下统计,其中大部分都在使用apkprotect这一加固方案,而其他方案则少许多:

6.2

图7 拦截马加壳类型统计

加固是一把双刃剑,保护开发者APP的同时也成为木马作者的一把”保护伞”,希望诸多加固公司能在加固应用前多做恶意代码审核工作。

黑产揭露

拦截马黑色产业链

拦截马的爆发必然有其原因,根据AVL团队研究人员多方采证以及卧底取证,最终还原了其完整的黑色产业链:

钓鱼

图8 拦截马攻击模型

从伪基站发送伪造钓鱼网站地址,再到用户访问钓鱼网站,欺骗用户输入个人信息,网站挂马诱导用户下载安装短信拦截木马,最后攻击者在线转账时通过拦截马转发网银验证码完成转账,这就是一个简单的拦截马工具模型。

拦截码黑色产业链(终稿)

图9 拦截马黑色产业链

拦截马黑色产业链分工明确结构简单,主要由以下四部分组成:
1.开发售卖:这部分主要是拦截马木马的开发以及免杀、钓鱼网站的开发出售、伪基站的出售;
2.木马分发:广撒网才能多收鱼,拦截马分发手段主要有钓鱼短信、网站挂马、二维码传播;
3.窃取售卖:拦截马植入成功即可获取拦截短信,但黑产关注的信息主要在于各大银行、支付宝、游戏点卡、运营商话费充值卡、Q币等等,这些信息都是可以直接交易;
4.洗钱:洗钱也是技术活,生意好的日入上万不是梦,虽然洗钱是获利最多的,但同时也是风险也最大。

文章最后附有研究人员潜伏拦截马交易群所收集到的部分相关聊天证据记录截图。

相关产业

百度搜索拦截马就有118万个结果,其中有产业链揭露、样本破解分析,但更多则是交易信息:

105

图10 百度”短信拦截马”百万以上词条

木马开发

下图为猪八戒网的开发需求,可见拦截马开发及免杀依然持续中的;不过拦截马功能比较简单,开发成本较低,即便免杀也通常使用已有加固方案,所以图中给的报酬都比较低:

106

图11 猪八戒网拦截马开发需求

伪基站

伪基站是近几年开始流行的,黑产中通常用于发送伪造短信诱导用户进入钓鱼网站,如下图即是一个伪造的工行短信,值得注意的是其使用了gov.cn域名下的子页,相对加强了权威性而降低了用户警惕:

108

图12 伪基站钓鱼网站短信

另外伪基站还有如下诈骗的使用方式,通过伪造短信来恐吓用户来进行诈骗行为,不久前”小龙女”李若彤经纪人造电信诈骗百万以上,手法就与此类似:

098

图13 伪基站诈骗短信

钓鱼网站

拦截马样本中最爱伪装中国移动,所以同时也发现了大量的山寨中国移动钓鱼网站,此类网站通常以积分兑换现金来诱骗用户输入相关银行帐号信息,同时诱导用户下载安装短信拦截木马:

109

图14 山寨中国移动钓鱼网站

下图即是一个山寨中国电信钓鱼网站,采取同样的手法获取用户个人信息并诱导安装短信拦截木马,该木马还会欺骗用户不要卸载:
110

图15 山寨中国电信钓鱼网站

011

图16 木马欺骗用户不要卸载

洗钱

利益所趋,正是拦截马火爆的主要原因。下图为某黑产人员曝光的拦截马洗钱记录,可谓日入上万不是梦:

097

图17 拦截马洗钱记录

总结

随着时间的推移,移动通信技术的发展,智能手机的出现,移动支付也渐渐占据主流。但由于手机支付安全问题日益突出,加上Android应用开发的简单,以及伪基站的出现,加固方案的发展,再结合流行已久的钓鱼网站,短信拦截马作为一个功能简单开发成本低,但获利颇高的黑色行业,不可避免的在短时间内便形成了其完整的产业链。

短信拦截马家族此刻正处在高速爆发时期,无论数量还是质量都有着明显的提高,尤其大量加壳对抗样本的出现,给安全公司分析人员造成了极大的困扰。在此希望诸多加固公司在对应用加固的时候,能多做一些恶意代码审核工作,避免与安全公司陷入加壳脱壳无穷尽的内耗中,而使恶意代码渔翁得利。

拦截马家族变化速度快,对抗强度高,传播渠道广,欺骗性强,极易造成用户重大经济损失以及隐私泄露。随着拦截马家族的爆发,同时更会不断产生着大量的伪基站诈骗短信以及钓鱼网站,希望用户能保持良好的安全上网习惯,以及对钓鱼欺诈的警觉,可以极大避免此类威胁。同时用户可以下载并使用AVL Pro对该类木马进行检测和查杀。

参考

【1】警惕手机钓鱼网站植入木马,http://blog.avlyun.com/713.html

【2】警惕手机钓鱼网站植入木马—电信篇,http://blog.avlyun.com/1283.html

【3】探秘短信马产业链-从逆向到爆菊,http://drops.wooyun.org/tips/789

【4】11月最新灰色项目,短信拦截马,支付宝银行卡有多少洗多少!

http://www.80lou.com/thread-425719-1-1.html

附-拦截马交易群部分聊天记录

从聊天记录可以大致还原拦截马完整的黑产链,从木马开发、免杀、伪基站、钓鱼网站、拦截料交易、洗钱,无一不有:

083

084

085

086

087

088


本文转载自:http://blog.avlyun.com/1387.html

共有 人打赏支持
骑牛找牛
粉丝 2
博文 28
码字总数 29263
作品 0
常德
短信拦截马黑产揭露 - 莫伸手,伸手必被抓

概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被攻击者收不到短信,并将短信内容截取到...

广岛秋泽 ⋅ 2015/10/07 ⋅ 0

抖音上竟然有60多个鹿晗,30多个杨幂……你被这些“假明星”圈粉了吗?

身为一名狂热的追星族,小楠时刻关注着爱豆的一举一动,上了哪家杂志的封面,最近去了哪个综艺,跟谁有了绯闻……她都一清二楚,每天微博、豆瓣、贴吧都是她的必去之地,自从爱豆在抖音上出现...

郭佳 ⋅ 05/30 ⋅ 0

万万没想到,他们会通过家庭设备勒索我的数字货币,黑产还瞄准了B端!

雷锋网编者按:2017年,网络攻防对抗不断升级,各种利用互联网技术进行偷盗、诈骗、敲诈等案件不断发生,围绕互联网的黑灰产业正以极快的速度蔓延。从各个主要国家的统计数据看,利用互联网技...

郭佳 ⋅ 01/18 ⋅ 0

基于用户画像大数据的电商防刷架构

版权声明:本文由颜国平原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/177 来源:腾云阁 https://www.qcloud.com/community 最近1~2年电商行业飞速发展...

偶素浅小浅 ⋅ 2016/11/09 ⋅ 0

防不胜防的黑产与金融欺诈,AI技术如何相抗

AI一直看似“神乎其技”。在互联网金融行业里,金融机构似乎得AI者就能得天下。而AI在互联网金融行业里最被看好的应用之一,便是反欺诈。可别忘了,当今的金融欺诈主要来自于“网络黑产”,而...

八条鱼理财 ⋅ 2017/11/17 ⋅ 0

“购物狂欢节”如何应对“羊毛党”

基于用户画像大数据的电商防刷架构 作者:颜国平 摘要:最近几年,电商行业飞速发展,各种创业公司犹如雨后春笋大量涌现,商家通过各种活动形式的补贴来获取用户、培养用户的消费习惯,即将到...

腾讯云技术社区 ⋅ 2017/11/01 ⋅ 0

解密:天猫双十一1682亿背后的“霸下-七层流量清洗”系统

上古神话中,龙生九子,其六为赑屃(bi xi),又名霸下,力大无穷,喜负重。在阿里安全也有这么一套技术框架以此命名。 上古神兽——霸下 名如其意,霸下的责任是支撑阿里安全产品的底层技术框...

云栖社区 ⋅ 2017/11/20 ⋅ 0

京东安全策略分析: 黑产 AI 用得 666,怎么怼回去

无人机送货、叮咚家庭助手、智慧物流、智慧供应链……近两年,主打“技术开启商业智能化”概念的京东,落地了众多相关产品和实际应用,其中大数据成为重要的助推力。 当大数据渗透到越来越多...

郭佳 ⋅ 2017/12/24 ⋅ 0

盗刷28万,某支付平台“人脸识别”现重大漏洞

据“封面新闻”报道,国内某支付平台的“人脸识别”系统存在重大漏洞,黑产人员只要在黑市上买到公民的身份证照片、持证照、手机号码、银行卡号等信息,就可以通过修改账户密码和换绑手机账号...

郭佳 ⋅ 01/17 ⋅ 0

2014 年 Android 恶意代码发展报告

AVL移动安全团队统计2014年移动恶意代码数据时发现:本年度Android恶意代码总量已增至123万。从历年恶意代码总量的发展趋势来看,2014年Android恶意代码总量的增长幅度没有延续去年猛增的势头...

oschina ⋅ 2015/04/10 ⋅ 17

没有更多内容

加载失败,请刷新页面

加载更多

下一页

CENTOS7防火墙命令记录

安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-po......

cavion ⋅ 51分钟前 ⋅ 0

【C++】【STL】利用chromo来测量程序运行时间与日志时间打印精确到微秒

直接上代码吧,没啥好说的。头疼。 #include <iostream>#include <string>#include <ctime>#include <sstream>#include <iomanip>#include <thread>#include <chrono>using ......

muqiusangyang ⋅ 54分钟前 ⋅ 0

Mac环境下svn的使用

在Windows环境中,我们一般使用TortoiseSVN来搭建svn环境。在Mac环境下,由于Mac自带了svn的服务器端和客户端功能,所以我们可以在不装任何第三方软件的前提下使用svn功能,不过还需做一下简...

故久呵呵 ⋅ 今天 ⋅ 0

破解公司回应苹果“USB限制模式”:已攻破

本周四,苹果发表声明称 iOS 中加入了一项名为“USB 限制模式”的功能,可以防止 iPhone 在连接其他设备的时候被破解,并且强调这一功能并不是针对 FBI 等执法部门,为的是保护用户数据安全。...

六库科技 ⋅ 今天 ⋅ 0

MyBtais整合Spring Boot整合,TypeHandler对枚举类(enum)处理

概要 问题描述 我想用枚举类来表示用户当前状态,枚举类由 code 和 msg 组成,但我只想把 code 保存到数据库,查询处理,能知道用户当前状态,这应该怎么做呢?在 Spring 整合MyBatis 的时候...

Wenyi_Feng ⋅ 今天 ⋅ 0

synchronized与Lock的区别

# <center>王梦龙的读书笔记第一篇</center> ## <center>-synchronized与Lock的区别</centre> ###一、从使用场景来说 + synchronized 是能够注释代码块、类、方法但是它的加锁是和解锁使用一......

我不想加班 ⋅ 今天 ⋅ 0

VConsole的使用

手机端控制台打印输出,方便bug的排查。 首先需要引入vconsole.min.js 文件,然后在文件中创造实例。就能直接使用了。 var vConsole = new VConsole(); vConsole的文件地址...

大美琴 ⋅ 今天 ⋅ 0

Java NIO之字符集

1 字符集和编解码的概念 首先,解释一下什么是字符集。顾名思义,就是字符的集合。它的初衷是把现实世界的符号映射为计算机可以理解的字节。比如我创造一个字符集,叫做sex字符集,就包含两个...

士别三日 ⋅ 今天 ⋅ 0

Spring Bean基础

1、Bean之间引用 <!--如果Bean配置在同一个XML文件中,使用local引用--><ref bean="someBean"/><!--如果Bean配置在不同的XML文件中,使用ref引用--><ref local="someBean"/> 其实两种......

霍淇滨 ⋅ 今天 ⋅ 0

05、基于Consul+Upsync+Nginx实现动态负载均衡

1、Consul环境搭建 下载consul_0.7.5_linux_amd64.zip到/usr/local/src目录 cd /usr/local/srcwget https://releases.hashicorp.com/consul/0.7.5/consul_0.7.5_linux_amd64.zip 解压consu......

北岩 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部