最近一段時(shí)間�,“短信攔截馬”病毒頻繁活躍在各大Android平臺(tái)上,該木馬主要以竊取用戶隱私為目的�����,然后利用盜取的用戶信息盜刷銀行賬戶����、偷取用戶財(cái)產(chǎn)等,從而造成用戶的隱私泄露�����、財(cái)產(chǎn)損失等危害�。
短信攔截馬,顧名思義就是一種可以攔截到他人短信的木馬�,可以控制攔截用戶手機(jī)中收到的短信�����,讓用戶無(wú)法實(shí)時(shí)收到短信����,并將用戶手機(jī)中的短信內(nèi)容私自發(fā)送到攻擊者的手機(jī)和郵箱中��。
瑞星安全研究人員通過(guò)對(duì)“短信攔截馬”病毒研究分析發(fā)現(xiàn),短信攔截馬最容易偽裝成移動(dòng)掌上營(yíng)業(yè)廳�、淘寶�����、支付寶��、相冊(cè)����、視頻����、學(xué)習(xí)資料等的手機(jī)APP客戶端��,讓用戶以為是官方APP放松警惕�,從而誘導(dǎo)用戶安裝運(yùn)行�。
圖:“短信攔截馬”病毒圖標(biāo)偽裝
“短信攔截馬”病毒為了防止安全人員逆向分析研究���,將代碼進(jìn)行混淆��,但是包內(nèi)文件結(jié)構(gòu)一致�,內(nèi)容也很類似�����。
圖:“短信攔截馬”病毒樣本包結(jié)構(gòu)
木馬運(yùn)行后為了獲取設(shè)備管理器權(quán)限���,會(huì)在啟動(dòng)界面上提示用戶“提高權(quán)限獲取保護(hù)”等詞語(yǔ)誘導(dǎo)用戶激活設(shè)備管理器權(quán)限�����,用戶一旦激活此權(quán)限�����,木馬病毒便會(huì)隱藏自身圖標(biāo),很難被卸載�。如果用戶選擇取消激活設(shè)備管理器��,木馬病毒則會(huì)彈出警告: “謹(jǐn)慎操作!取消激活可能會(huì)影響手機(jī)正常使用”等字語(yǔ)威脅用戶����。
圖:提示用戶激活設(shè)備管理器權(quán)限
當(dāng)“短信攔截馬”病毒程序安裝完畢后,木馬便遍歷用戶手機(jī)中的個(gè)人隱私信息��,如通訊錄�、短信等���,然后將獲取的信息發(fā)送到攻擊者的郵箱中。然而�,黑產(chǎn)更關(guān)注的是銀行等支付交易的驗(yàn)證碼短信,當(dāng)黑產(chǎn)團(tuán)伙同時(shí)掌握了用戶的銀行卡信息和驗(yàn)證手機(jī)后�,就可以通過(guò)攔截短信驗(yàn)證碼的方式進(jìn)行資金交易轉(zhuǎn)賬等一系列操作。
其實(shí)�����,這類“短信攔截馬”的技術(shù)原理及實(shí)現(xiàn)并不復(fù)雜�����,且利用的技術(shù)手段也大致相同,幾乎都是通過(guò)注冊(cè)短信廣播或者觀察模式監(jiān)控手機(jī)短信的收發(fā)過(guò)程,從而實(shí)現(xiàn)短信攔截和竊取用戶個(gè)人隱私的惡意功能����。
PC端互聯(lián)網(wǎng)已經(jīng)處于日漸飽和的狀況����,而移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)正在迅速的蓬勃發(fā)展中��,隨著時(shí)間的推移及移動(dòng)智能設(shè)備的出現(xiàn)���,移動(dòng)支付也漸漸占據(jù)主流。伴隨偽基站的出現(xiàn)�,移動(dòng)智能終端支付的安全性問(wèn)題也日趨凸顯���。當(dāng)前����,Android應(yīng)用的開發(fā)相對(duì)較為簡(jiǎn)單��,結(jié)合目前較為流行的釣魚網(wǎng)站,短信攔截馬作為一個(gè)功能簡(jiǎn)單、開發(fā)成本低����、獲利頗高的非法牟利手段��,很快就能在短時(shí)間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈���。
瑞星安全研究人員介紹,“短信攔截馬”家族此時(shí)還正繼續(xù)在社會(huì)上傳播蔓延�����,變種的速度也很快���,欺詐性也很強(qiáng)(+微信關(guān)注網(wǎng)絡(luò)世界),傳播渠道也很廣���,很容易造成大范圍的經(jīng)濟(jì)損失以及個(gè)人隱私的泄露。希望用戶能自我建立良好的上網(wǎng)習(xí)慣�����,以及對(duì)釣魚網(wǎng)站和欺詐信息的高度警惕����,最大程度上避免自己的隱私和財(cái)產(chǎn)受到此類病毒詐騙的威脅。同時(shí)�����,用戶還可以下載并使用瑞星手機(jī)安全助手對(duì)該類木馬進(jìn)行檢測(cè)和查殺����。
病毒 詳細(xì)分析
木馬安裝成功后��,會(huì)給攻擊者的手機(jī)發(fā)送一條短信,提示該木馬安裝完畢�����。
圖:發(fā)送識(shí)別碼
木馬將盜取用戶的短信�����、通訊錄等通過(guò)SMTP協(xié)議發(fā)送到指定的郵箱�����。由于使用SMTP協(xié)議發(fā)送郵件,需要發(fā)件人的郵箱賬號(hào)密碼�。所以樣本中內(nèi)置了牧馬人的發(fā)件郵箱賬號(hào)密碼。
圖:使用163發(fā)信
早期樣本中�,發(fā)件郵箱賬號(hào)和密碼都是明文形式存在文件中��,隨著樣本的升級(jí)�����,病毒作者以加密形式保存了此信息��,但是通過(guò)調(diào)試也很容易解密出發(fā)件郵箱的賬號(hào)密碼。使用郵件收信在很早之前的木馬中流行過(guò)���,但因?yàn)橐獌?nèi)置發(fā)件郵箱的賬號(hào)密碼��,這種方法很早就被淘汰,此木馬中仍然使用郵箱發(fā)件�����,足可看出該木馬的水平非常底下���。
圖:加密過(guò)的郵箱賬號(hào)密碼
該木馬還會(huì)替換收件信息內(nèi)容中的敏感字�����,逃避殺毒軟件和一些流量郵件監(jiān)控軟件的檢測(cè)。
圖:敏感字替換
樣本安裝運(yùn)行后還會(huì)向用戶的所有聯(lián)系人發(fā)送短信進(jìn)行惡意傳播����,內(nèi)容為: 我給你錄了視頻你看下 123.60.159.122/Zet ���。當(dāng)聯(lián)系人收到該短信訪問(wèn)此鏈接后又會(huì)下載該木馬病毒��。
圖:木馬通過(guò)短信傳播
樣本 信息
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議���,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作�,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)