最近一段時間,“短信攔截馬”病毒頻繁活躍在各大Android平臺上,該木馬主要以竊取用戶隱私為目的,然后利用盜取的用戶信息盜刷銀行賬戶、偷取用戶財產(chǎn)等,從而造成用戶的隱私泄露、財產(chǎn)損失等危害。
短信攔截馬,顧名思義就是一種可以攔截到他人短信的木馬,可以控制攔截用戶手機(jī)中收到的短信,讓用戶無法實時收到短信,并將用戶手機(jī)中的短信內(nèi)容私自發(fā)送到攻擊者的手機(jī)和郵箱中。
瑞星安全研究人員通過對“短信攔截馬”病毒研究分析發(fā)現(xiàn),短信攔截馬最容易偽裝成移動掌上營業(yè)廳、淘寶、支付寶、相冊、視頻、學(xué)習(xí)資料等的手機(jī)APP客戶端,讓用戶以為是官方APP放松警惕,從而誘導(dǎo)用戶安裝運行。
圖:“短信攔截馬”病毒圖標(biāo)偽裝
“短信攔截馬”病毒為了防止安全人員逆向分析研究,將代碼進(jìn)行混淆,但是包內(nèi)文件結(jié)構(gòu)一致,內(nèi)容也很類似。
圖:“短信攔截馬”病毒樣本包結(jié)構(gòu)
木馬運行后為了獲取設(shè)備管理器權(quán)限,會在啟動界面上提示用戶“提高權(quán)限獲取保護(hù)”等詞語誘導(dǎo)用戶激活設(shè)備管理器權(quán)限,用戶一旦激活此權(quán)限,木馬病毒便會隱藏自身圖標(biāo),很難被卸載。如果用戶選擇取消激活設(shè)備管理器,木馬病毒則會彈出警告: “謹(jǐn)慎操作!取消激活可能會影響手機(jī)正常使用”等字語威脅用戶。
圖:提示用戶激活設(shè)備管理器權(quán)限
當(dāng)“短信攔截馬”病毒程序安裝完畢后,木馬便遍歷用戶手機(jī)中的個人隱私信息,如通訊錄、短信等,然后將獲取的信息發(fā)送到攻擊者的郵箱中。然而,黑產(chǎn)更關(guān)注的是銀行等支付交易的驗證碼短信,當(dāng)黑產(chǎn)團(tuán)伙同時掌握了用戶的銀行卡信息和驗證手機(jī)后,就可以通過攔截短信驗證碼的方式進(jìn)行資金交易轉(zhuǎn)賬等一系列操作。
其實,這類“短信攔截馬”的技術(shù)原理及實現(xiàn)并不復(fù)雜,且利用的技術(shù)手段也大致相同,幾乎都是通過注冊短信廣播或者觀察模式監(jiān)控手機(jī)短信的收發(fā)過程,從而實現(xiàn)短信攔截和竊取用戶個人隱私的惡意功能。
PC端互聯(lián)網(wǎng)已經(jīng)處于日漸飽和的狀況,而移動互聯(lián)網(wǎng)產(chǎn)業(yè)正在迅速的蓬勃發(fā)展中,隨著時間的推移及移動智能設(shè)備的出現(xiàn),移動支付也漸漸占據(jù)主流。伴隨偽基站的出現(xiàn),移動智能終端支付的安全性問題也日趨凸顯。當(dāng)前,Android應(yīng)用的開發(fā)相對較為簡單,結(jié)合目前較為流行的釣魚網(wǎng)站,短信攔截馬作為一個功能簡單、開發(fā)成本低、獲利頗高的非法牟利手段,很快就能在短時間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈。
瑞星安全研究人員介紹,“短信攔截馬”家族此時還正繼續(xù)在社會上傳播蔓延,變種的速度也很快,欺詐性也很強(qiáng)(+微信關(guān)注網(wǎng)絡(luò)世界),傳播渠道也很廣,很容易造成大范圍的經(jīng)濟(jì)損失以及個人隱私的泄露。希望用戶能自我建立良好的上網(wǎng)習(xí)慣,以及對釣魚網(wǎng)站和欺詐信息的高度警惕,最大程度上避免自己的隱私和財產(chǎn)受到此類病毒詐騙的威脅。同時,用戶還可以下載并使用瑞星手機(jī)安全助手對該類木馬進(jìn)行檢測和查殺。
病毒 詳細(xì)分析
木馬安裝成功后,會給攻擊者的手機(jī)發(fā)送一條短信,提示該木馬安裝完畢。
圖:發(fā)送識別碼
木馬將盜取用戶的短信、通訊錄等通過SMTP協(xié)議發(fā)送到指定的郵箱。由于使用SMTP協(xié)議發(fā)送郵件,需要發(fā)件人的郵箱賬號密碼。所以樣本中內(nèi)置了牧馬人的發(fā)件郵箱賬號密碼。
圖:使用163發(fā)信
早期樣本中,發(fā)件郵箱賬號和密碼都是明文形式存在文件中,隨著樣本的升級,病毒作者以加密形式保存了此信息,但是通過調(diào)試也很容易解密出發(fā)件郵箱的賬號密碼。使用郵件收信在很早之前的木馬中流行過,但因為要內(nèi)置發(fā)件郵箱的賬號密碼,這種方法很早就被淘汰,此木馬中仍然使用郵箱發(fā)件,足可看出該木馬的水平非常底下。
圖:加密過的郵箱賬號密碼
該木馬還會替換收件信息內(nèi)容中的敏感字,逃避殺毒軟件和一些流量郵件監(jiān)控軟件的檢測。
圖:敏感字替換
樣本安裝運行后還會向用戶的所有聯(lián)系人發(fā)送短信進(jìn)行惡意傳播,內(nèi)容為: 我給你錄了視頻你看下 123.60.159.122/Zet 。當(dāng)聯(lián)系人收到該短信訪問此鏈接后又會下載該木馬病毒。
圖:木馬通過短信傳播
樣本 信息
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強(qiáng)大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。