深度解讀“短信攔截馬”的黑產(chǎn)利益鏈

qifushan

近期，瑞星客服中心接到多方用戶電話,，稱安卓手機(jī)中毒,，接到很多莫名其妙的陌生短信，短信內(nèi)容中包含一個網(wǎng)址,，點(diǎn)擊后自動下載一個apk程序讓用戶安裝,，安裝后又沒發(fā)現(xiàn)病毒程序在自己的手機(jī)中。隨后,，瑞星移動安全工程師對此展開了調(diào)查,，發(fā)現(xiàn)用戶手機(jī)中中了一個叫“短信攔劫馬”的病毒。其實(shí)類似的病毒已經(jīng)不是什么新鮮事了，近幾年一直非�,；鸨�,，最近這類病毒又卷土重來，爆發(fā)式的在社會上擴(kuò)散傳播,，中招用戶和受騙用戶隨之也越來越多,。短信攔截馬，顧名思義就是一種可以攔截到他人短信的木馬,，可以控制攔截用戶手機(jī)中收到的短信,，讓用戶無法實(shí)時收到短信，并將用戶手機(jī)中的短信內(nèi)容私自發(fā)送到攻擊者的手機(jī)和郵箱中,。

短信攔截馬的功能很簡單,、開發(fā)成本也很低，但更新變種的速度很快,，涉及的樣本量也非常龐大,。此類木馬最常見的手法是利用“你干過的事情別以為沒有人知道”、“看你做的齷齪事”,、“教育課程”,、“移動兌換積分”等語句來誘導(dǎo)用戶下載安裝，在安裝運(yùn)行后病毒會在后臺攔截和轉(zhuǎn)發(fā)用戶手機(jī)中的短信內(nèi)容,，以此來獲取用戶的個人隱私信息,，如用戶姓名、手機(jī)號,、身份證號,、銀行卡賬戶、短信驗(yàn)證碼,、支付密碼及各種登錄賬號和登錄密碼,，會造成個人隱私泄漏等問題，同時攻擊者還可利用盜取的用戶信息盜刷銀行賬戶,、偷取用戶財產(chǎn)等的目的,，直接威脅到用戶的個人隱私和財產(chǎn)安全。

0x01樣本分析

“短信攔截馬”最容易偽裝成移動掌上營業(yè)廳,、相冊,、 照片、圖片,、學(xué)習(xí)資料等的手機(jī)APP客戶端,，而用戶中的木馬病毒正是以“相冊”命名的安卓惡意應(yīng)用程序。

在拿到用戶提供的病毒樣本后,，首先來看下這個病毒程序里都包含了哪些文件,，如圖：

圖1：apk文件結(jié)構(gòu)圖

然后將這個apk程序逆向后查看AXML 文件,，看看都申請了哪些權(quán)限，如圖：

圖2：病毒程序所使用的所有權(quán)限

從程序申請的短信,、聯(lián)系人,、聯(lián)網(wǎng)的權(quán)限來看，我們基本就可以確定這是一款“短信攔截馬”的惡意病毒程序了,，從AXML文件中,，我們還能發(fā)現(xiàn)病毒作者還定義了兩個屬性，installLocation和excludeFromRecents,，設(shè)置這兩個屬性的目的是不讓程序安裝到sdcard 中和隱藏最近任務(wù),，這樣設(shè)置的目的是不讓自身出現(xiàn)在最近程序列表中，減少被普通用戶發(fā)現(xiàn)的概率,。

圖3：隱藏最近任務(wù)

接著,，我們將該惡意程序拖到JEB中繼續(xù)往下分析，病毒安裝觸發(fā)后會自動運(yùn)行并隱藏自身啟動圖標(biāo),。

圖4：隱藏啟動圖標(biāo)

木馬還同時使用了“短信廣播”和“觀察者”兩種模式來進(jìn)行短信攔截,，功能和其他攔截馬一樣都具備：

1)激活設(shè)備管理器防止被用戶正常卸載；

2)禁用Main Activity組件隱藏圖標(biāo),；

3)短信通知攻擊者中招肉雞已上線,；

4)異步郵件發(fā)送受害者通訊錄以及短信記錄；

5)啟動后臺服務(wù)進(jìn)程實(shí)時監(jiān)控用戶短信和系統(tǒng)行為,。

圖5：誘導(dǎo)用戶激活設(shè)備管理器防止卸載

Sevice主要功能：

1)        動態(tài)注冊短信廣播接收器和觀察者模式,；

2)        被destory后自動啟動；

3)        判斷木馬是否過期,。

圖6：Sevice主要功能

圖7：木馬有效期

從上圖有效期這點(diǎn)很明顯就可以看出,使用這個木馬的人是從其他地方購買的。

可以觸發(fā)此攔截馬行為的入口點(diǎn)還包括開機(jī)廣播,、網(wǎng)絡(luò)切換廣播,、短信相關(guān)廣播等。

圖8：觸發(fā)木馬的行為機(jī)制

木馬向控制手機(jī)回傳部分短信時,，為了防止手機(jī)中的安全軟件進(jìn)行監(jiān)控攔截,，還會過濾和替換了敏感關(guān)鍵詞。

圖9：過濾和替換敏感關(guān)鍵詞

木馬遍歷完用戶手機(jī)中的個人隱私信息后開始向木馬制作者郵箱中發(fā)送短信,，通過幾天的時間,，病毒作者的郵箱中就收到了上千條中招用戶的通訊錄和短信息，有點(diǎn)兒流弊有點(diǎn)兒犀利有點(diǎn)兒屌,，部分?jǐn)?shù)據(jù)內(nèi)容如下：

圖10：病毒作者郵箱保存的用戶隱私信息

其實(shí),，進(jìn)入短信攔截馬的郵箱也不是什么難事兒，因?yàn)榇蟛糠诸愃频臄r截馬都會直接把賬號和密碼寫在代碼里,，然后我們直接定位到關(guān)鍵代碼調(diào)用的地方找到登錄賬號和密碼就可以直接進(jìn)去了（有個別的病毒會把郵箱的登錄密碼通過DES等加密方式進(jìn)行加密,，破解DES加密也不是什么難事）,。

圖11：病毒作者的郵箱賬號和密碼

然而對于攔截到的這些用戶的個人信息，對于地下產(chǎn)業(yè)的人來講,，他們更關(guān)注的是銀行等支付交易的驗(yàn)證碼短信,，當(dāng)黑產(chǎn)團(tuán)伙同時掌握了用戶的銀行卡信息和驗(yàn)證手機(jī)后，就可以通過攔截短信驗(yàn)證碼的方式進(jìn)行資金交易轉(zhuǎn)賬等一系列,。

0x02攔截馬整體功能流程圖:

圖12：短信攔截馬功能實(shí)現(xiàn)流程

0x03攔截馬黑產(chǎn)揭露

通過如上分析,，我們基本可以了解制作這種短信攔截馬的目的是什么?無利不起早，每個行業(yè)都必須是有利可圖的,，通過這種方式,，黑客們很直接也很容易的就能盜取用戶的個人利益并變?yōu)榧河校瑥耐ㄟ^偽基站的方式定向發(fā)送社工欺詐短信,，再到用戶點(diǎn)擊信息中包含的惡意鏈接,，云服務(wù)器掛馬誘導(dǎo)用戶下載安裝短信攔截馬，再到欺騙用戶輸入個人信息等,，最后攻擊者通過攔截馬轉(zhuǎn)發(fā)到郵箱的網(wǎng)銀驗(yàn)證碼完成轉(zhuǎn)賬功能,，這就是一個簡單的攔截馬功能，如下圖,，黑色產(chǎn)業(yè)鏈整體流程圖：

圖13：黑產(chǎn)流程圖

“短信攔截馬”的黑色產(chǎn)業(yè)鏈整體分工層次明確,，從木馬設(shè)計制作者開發(fā)售賣，再到木馬分發(fā)擴(kuò)散傳播,、出料洗料和最后的轉(zhuǎn)賬洗錢的過程,，構(gòu)成了整個黑色產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)。

通過關(guān)鍵詞“攔截馬”或“攔截馬 出售”等方式在Google和Baidu搜索引擎中搜索,，我們可以看到很多關(guān)于此類木馬信息的地下產(chǎn)業(yè)鏈揭露和樣本分析等文章搜索結(jié)果,，其中還有很多此類短信攔截馬的交易信息：

圖14：Baidu搜索結(jié)果

圖15：Google搜索結(jié)果

下圖為某項(xiàng)目外包網(wǎng)的關(guān)于安卓短信攔截馬的相關(guān)開發(fā)和售賣等需求的發(fā)布信息：

圖16：安卓攔截馬的開發(fā)和售賣需求發(fā)布信息

從這些搜索結(jié)果來看，短信攔截馬的供應(yīng)鏈清晰且完整,，相關(guān)部門對這種公開的非法行為并沒有加強(qiáng)管理,，黑客們依舊自由自在的翱翔于移動互聯(lián)網(wǎng)中繼續(xù)進(jìn)行著網(wǎng)絡(luò)和電信詐騙。

0x04總結(jié)：

其實(shí),，這類“短信攔截馬”的技術(shù)原理及實(shí)現(xiàn)并不復(fù)雜,，且利用的技術(shù)手段也大致相同，幾乎都是通過注冊ContenetObserver和BroadcastReceiver的方式來監(jiān)控用戶手機(jī)的短信收發(fā)過程和用戶操作系統(tǒng)的行為,，從而實(shí)現(xiàn)短信攔截和竊取用戶個人隱私的惡意功能,。

PC端互聯(lián)網(wǎng)已經(jīng)處于日漸飽和的狀況，而移動互聯(lián)網(wǎng)產(chǎn)業(yè)正在迅速的蓬勃發(fā)展中,，隨著時間的推移及移動智能設(shè)備的出現(xiàn),，移動支付也漸漸占據(jù)主流。伴隨偽基站的出現(xiàn),，移動智能終端支付的安全性問題也日趨凸顯,。當(dāng)前,，Android應(yīng)用的開發(fā)相對較為簡單，結(jié)合目前較為流行的釣魚網(wǎng)站,，短信攔截馬作為一個功能簡單,、開發(fā)成本低、獲利頗高的非法牟利手段,，很快就能在短時間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈,。

“短信攔截馬”家族此時還正繼續(xù)在社會上傳播蔓延，變種的速度也飛快,，欺詐性也很強(qiáng),，傳播渠道也很廣，很容易造成大范圍用戶的重大經(jīng)濟(jì)損失以及個人隱私的泄露,。希望用戶能自我建立良好的上網(wǎng)習(xí)慣,，以及對釣魚網(wǎng)站和欺詐信息的高度警惕，一邊在最大程度上避免自己的隱私和財產(chǎn)受到此類病毒詐騙的威脅,。同時,，用戶還可以下載并使用瑞星手機(jī)安全助手對該類木馬進(jìn)行檢測和查殺。

xiaobeizi

智能時代來臨,，新的木馬病毒也隨之而生