最近一段時間,“短信攔截馬”病毒頻繁活躍在各大Android平臺上�����,該木馬主要以竊取用戶隱私為目的���,然后利用盜取的用戶信息盜刷銀行賬戶��、偷取用戶財產(chǎn)等�����,從而造成用戶的隱私泄露����、財產(chǎn)損失等危害�。
短信攔截馬,顧名思義就是一種可以攔截到他人短信的木馬��,可以控制攔截用戶手機(jī)中收到的短信����,讓用戶無法實時收到短信,并將用戶手機(jī)中的短信內(nèi)容私自發(fā)送到攻擊者的手機(jī)和郵箱中����。
瑞星安全研究人員通過對“短信攔截馬”病毒研究分析發(fā)現(xiàn),短信攔截馬最容易偽裝成移動掌上營業(yè)廳��、淘寶���、支付寶����、相冊�����、視頻、學(xué)習(xí)資料等的手機(jī)APP客戶端�����,讓用戶以為是官方APP放松警惕���,從而誘導(dǎo)用戶安裝運行���。
圖:“短信攔截馬”病毒圖標(biāo)偽裝
“短信攔截馬”病毒為了防止安全人員逆向分析研究,將代碼進(jìn)行混淆�,但是包內(nèi)文件結(jié)構(gòu)一致,內(nèi)容也很類似���。
圖:“短信攔截馬”病毒樣本包結(jié)構(gòu)
木馬運行后為了獲取設(shè)備管理器權(quán)限���,會在啟動界面上提示用戶“提高權(quán)限獲取保護(hù)”等詞語誘導(dǎo)用戶激活設(shè)備管理器權(quán)限,用戶一旦激活此權(quán)限���,木馬病毒便會隱藏自身圖標(biāo)���,很難被卸載。如果用戶選擇取消激活設(shè)備管理器,木馬病毒則會彈出警告: “謹(jǐn)慎操作!取消激活可能會影響手機(jī)正常使用”等字語威脅用戶�。
圖:提示用戶激活設(shè)備管理器權(quán)限
當(dāng)“短信攔截馬”病毒程序安裝完畢后,木馬便遍歷用戶手機(jī)中的個人隱私信息��,如通訊錄���、短信等,然后將獲取的信息發(fā)送到攻擊者的郵箱中�����。然而����,黑產(chǎn)更關(guān)注的是銀行等支付交易的驗證碼短信,當(dāng)黑產(chǎn)團(tuán)伙同時掌握了用戶的銀行卡信息和驗證手機(jī)后�����,就可以通過攔截短信驗證碼的方式進(jìn)行資金交易轉(zhuǎn)賬等一系列操作�����。
其實����,這類“短信攔截馬”的技術(shù)原理及實現(xiàn)并不復(fù)雜����,且利用的技術(shù)手段也大致相同����,幾乎都是通過注冊短信廣播或者觀察模式監(jiān)控手機(jī)短信的收發(fā)過程,從而實現(xiàn)短信攔截和竊取用戶個人隱私的惡意功能���。
PC端互聯(lián)網(wǎng)已經(jīng)處于日漸飽和的狀況�����,而移動互聯(lián)網(wǎng)產(chǎn)業(yè)正在迅速的蓬勃發(fā)展中�,隨著時間的推移及移動智能設(shè)備的出現(xiàn)�,移動支付也漸漸占據(jù)主流。伴隨偽基站的出現(xiàn)�����,移動智能終端支付的安全性問題也日趨凸顯��。當(dāng)前�,Android應(yīng)用的開發(fā)相對較為簡單,結(jié)合目前較為流行的釣魚網(wǎng)站,短信攔截馬作為一個功能簡單��、開發(fā)成本低�、獲利頗高的非法牟利手段,很快就能在短時間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈���。
瑞星安全研究人員介紹���,“短信攔截馬”家族此時還正繼續(xù)在社會上傳播蔓延��,變種的速度也很快���,欺詐性也很強(qiáng)(+微信關(guān)注網(wǎng)絡(luò)世界)��,傳播渠道也很廣����,很容易造成大范圍的經(jīng)濟(jì)損失以及個人隱私的泄露�。希望用戶能自我建立良好的上網(wǎng)習(xí)慣,以及對釣魚網(wǎng)站和欺詐信息的高度警惕����,最大程度上避免自己的隱私和財產(chǎn)受到此類病毒詐騙的威脅。同時,用戶還可以下載并使用瑞星手機(jī)安全助手對該類木馬進(jìn)行檢測和查殺����。
病毒 詳細(xì)分析
木馬安裝成功后,會給攻擊者的手機(jī)發(fā)送一條短信�����,提示該木馬安裝完畢����。
圖:發(fā)送識別碼
木馬將盜取用戶的短信、通訊錄等通過SMTP協(xié)議發(fā)送到指定的郵箱����。由于使用SMTP協(xié)議發(fā)送郵件,需要發(fā)件人的郵箱賬號密碼�。所以樣本中內(nèi)置了牧馬人的發(fā)件郵箱賬號密碼。
圖:使用163發(fā)信
早期樣本中����,發(fā)件郵箱賬號和密碼都是明文形式存在文件中,隨著樣本的升級�����,病毒作者以加密形式保存了此信息,但是通過調(diào)試也很容易解密出發(fā)件郵箱的賬號密碼��。使用郵件收信在很早之前的木馬中流行過��,但因為要內(nèi)置發(fā)件郵箱的賬號密碼�����,這種方法很早就被淘汰�,此木馬中仍然使用郵箱發(fā)件,足可看出該木馬的水平非常底下�。
圖:加密過的郵箱賬號密碼
該木馬還會替換收件信息內(nèi)容中的敏感字,逃避殺毒軟件和一些流量郵件監(jiān)控軟件的檢測����。
圖:敏感字替換
樣本安裝運行后還會向用戶的所有聯(lián)系人發(fā)送短信進(jìn)行惡意傳播�����,內(nèi)容為: 我給你錄了視頻你看下 123.60.159.122/Zet ���。當(dāng)聯(lián)系人收到該短信訪問此鏈接后又會下載該木馬病毒����。
圖:木馬通過短信傳播
樣本 信息
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議�����,請謹(jǐn)慎對待�����。投資者據(jù)此操作���,風(fēng)險自擔(dān)�。
京公網(wǎng)安備 11010502041587號