Author Archives: AVLTeam

gpSystem:一种可私自注册google账号的病毒

  近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。

一、样本基本信息

  该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。

二、恶意行为流程图

三、动态分析

  运行后多次申请root权限:

四、样本分析

  程序运行,隐藏图标:

  获取root权限:

  联网下载提权模块:

  执行提权方案:

  提权后安装apk:

  解密子包,启动两个子包服务:

  拷贝到系统目录和sdcard:

  子包分析

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      启动SuService:

  hook多个系统函数:

  判断是否能够注册google账号:

  判断辅助功能是否启动,用来模拟点击注册google账号:

  开始hook:

  hook多个系统api,修改返回值,以防止影响自动注册:

  hook之后启动注册界面:

  会先结束其他影响注册的服务,然后am命令启动注册界面:

  界面启动之后,RegisterAccessbilityService通过监听包名“com.google.android.gsf.login”触发注册界面启动事件:

  判断sdk版本,使用不同的方式注册google账号:

  通过辅助功能获取界面上所有控件信息,之后联网获得注册数据:

  判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据:

  注册google账号:

  通过辅助功能模拟点击:

  com.android.dmr:

  MMLogManagerService服务中,联网获取下载配置信息:

  下载并加载子包:

  下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip

  加载子包:

  abroad.zip分析

  拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api

  获取上传数据:

  拷贝用户账号信息等文件到指定目录:

  从/data/system/users/0、/data/data/com.google.android.gms、 /data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或配置文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息:

  解析文件格式后,将数据上传服务器:

  收集用户账号信息等数据可能用于配合gpSystem注册google账号相关。

  相关CC:

五、总结

  该病毒首先通过联网获取root方案,下载并执行提权模块,随后释放两个恶意程序,拷贝到系统目录以防被卸载。恶意程序通过辅助功能模拟点击注册google账号,并且通过修改系统函数返回值(忽略按键、锁屏无效等),防止其影响注册流程,以提高注册成功率。同时还会下载恶意代码,收集用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于配合自动注册相关。 近年来,各种黑色产业链逐步形成,黑产的攻击手段也越来越专业化,会利用一系列手段保护自己,对此安全厂商应该持续关注并提升对抗能力,为移动安全保驾护航。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5291

更多技术文章,请关注安天移动安全官方微信

微信支付SDK XXE高危漏洞预警与应急响应

一、概述

  近日,国外安全社区 Seclists.Org 披露了微信支付官方 SDK 存在严重的 XXE 漏洞,可导致商家服务器被入侵,且黑客可避开真实支付通道,用虚假的支付通知来购买任意产品 。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞)。该漏洞利用成本低,极易被攻击者利用攻击。

  漏洞披露后,安天移动安全针对该漏洞进行分析并结合支付行业特点,界定漏洞危害以及对支付行业影响。安天移动安全第一时间针对支付行业发布微信支付SDK XXE高危漏洞预警,并启动了安全应急响应,提出了针对支付行业支付后台系统应对措施的建议。

二、漏洞预警说明

  XXE漏洞简述

  XML 外部实体注入漏洞(XML External Entity Injection,简称 XXE),是一种容易被忽视,但危害巨大的漏洞。它可以利用 XML 外部实体加载注入,执行不可预控的代码,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

  微信SDK的XXE漏洞原理

  通常,商家通过微信SDK提供的“unifiedOrder”接口,调用微信支付功能完成支付,并设置一个URL来异步接收支付结果通知。这个URL由商家在服务端按照微信支付开发文档中“支付结果通知”API中的定义实现,在微信后台完成支付操作以后调用。微信后台通过约定好的接口定义,对回调接口发送一个XML文件,供后续解析。

  设计中,这个支付结果通知并不需要服务端验证通知是否从来自微信的支付服务,因为通知中含有可验证的签名,第三者不可能构造签名,除非掌握商家的关键安全信息(mch_id和md5-key)。但是,在解析这个结果通知的XML的过程中,微信Java版本的SDK没有禁用“XML 外部实体加载”的机制,导致攻击者可以向接受通知的URL中构造恶意的XML数据,利用XXE漏洞,根据需要窃取商家服务器上的任意信息。一旦攻击者获得商家的关键安全信息,那么他们可以通过发送伪造的信息来欺骗商家而无需付费购买任意商品。

  漏洞影响范围

  本次披露漏洞为服务器漏洞,影响范围为采用受影响的版本为WxPayAPI_JAVA_v3的微信官方Java SDK版本的支付后台系统。

  漏洞对支付行业影响

  移动支付作为支付行业最主要的业务场景,同时微信支付作为国内主流支付方式之一,绝大部分支付后台均接入微信支付。通过漏洞分析可知,本次爆出漏洞是一个服务器漏洞,直接影响整个支付后台系统,且利用方式已经被披露,利用成本极低。漏洞一旦利用会直接导致支付后台数据被窃取,造成重大隐私数据泄露,攻击者还可以基于窃取数据,进行伪造交易等攻击,对支付业务造成极大危害。

三、应对策略

  针对微信支付SDK XXE高危漏洞的威胁态势,目前安天建议从排查和修复两方面入手,支付后台系统运营方就当前接入微信支付SDK的支付后台系统进行漏洞专项排查,明确当前支付后台是否存在该漏洞,同时对于确认存在该漏洞的支付后台,进行相应的威胁处理,对漏洞进行修复。安天可免费提供漏洞检测和修复服务,帮助支付后台系统运营方处置该漏洞威胁。

  1.对于直接采用微信官方的JAVA SDK实现“支付结果通知”的商家,当前微信官方最新版的JAVA SDK已经修复此漏洞,可以通过微信官方渠道 下载,对代码进行更新。

  2.对于没有使用微信官方SDK实现“支付结果通知”的商家,需要在解析XML时禁用“XML 外部实体加载”的机制。微信SDK官方修复参考示例如下:

四、建议

  本次披露的漏洞是一个服务器后台接口漏洞,后台服务作为企业的核心资产,不仅仅承载着企业核心业务,同时也承载着海量用户的关键数据。一旦服务器存在致命漏洞,受影响的不光是相应企业,同时还有广大用户。因此如何保护企业核心后台业务安全是企业信息安全的重中之重,企业应当对企业核心业务的关键API接口进行渗透测试评估,确保核心接口不存在安全隐患。

  同时该漏洞是由于微信SDK引入,支付后台运营方只是负责接入,但是由于即使研发实力强如腾讯,也依然可能存在的安全隐患,最终导致集成的支付后台的核心业务受到影响。开放是当前信息化、网联化、智能化的发展趋势,但是开放势必带来新的安全挑战,安全也不再是一个单点封闭的话题,而应该更加着眼于生态安全,生态的各个参与方,明确彼此承担的安全职责,携手共建安全有序的发展环境。

  参考资料

  1.WeChat leave a backdoor on merchant websites: http://seclists.org/fulldisclosure/2018/Jul/3

  2.微信支付Java版本SDK存在XXE漏洞: https://cloud.tencent.com/developer/news/263804

  3.微信0元购?微信支付SDK爆出XXE漏洞http://baijiahao.baidu.com/s?id=1604965507191135469

  4.https://pay.weixin.qq.com/wiki/doc/api/download/WxPayAPI_JAVA_v3.zip

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5284

更多技术文章,请关注安天移动安全官方微信

testService间谍病毒的“七年之痒”

一、概述

  近期安天移动安全和猎豹移动联合捕获到间谍家族Trojan/Android.testServiceSpy的一些新的病毒样本,截至目前,捕获到的样本9成以上都是名为”testService”的测试样本,故称之为testService间谍病毒。从时间节点上来看,近年我们也有陆续捕获到该家族的一些其他样本,如Angel、Angel001、testzhixing、True、helloworld等。在最新发现的样本中,有3个具有钓鱼性质的应用,我们对其进行了详细分析,以期还原这个家族样本的技术细节。

一、恶意行为分析

2.1 恶意应用

  在我们捕获到的大量的样本中,大多数是类似测试的Demo样本,但是其中包含3个明显具有钓鱼性质的应用,具体为Notepad、ScrollBook(禁书网)和中国化工网。

  以ScrollBook(禁书网)应用为例,我们发现该应用未经用户同意,在后台运行时采集包括位置信息、通话记录、短信、通讯录等用户敏感信息并秘密上传。

  分析发现,这些应用的开发群体恶意攻击倾向较为鲜明,且应用名称及图标具有强烈的钓鱼伪装性质,用户一旦安装将存在严重的隐私泄露风险。

2.2 编码特征

  我们捕获到早期的部分样本是不采用任何处理手段的,CC直接明文硬编码在代码中,但是也依然存在大量对明文的CC进行处理的样本,从时间节点上看,我们推测样本进行了多次迭代。

  该病毒家族早期对CC的处理方式:先进行BASE64,然后再执行如图1所示的编码处理:

图 1 – 编码函数1

  该病毒家族后期对CC的处理方式:使用图2的编码函数来替代BASE64然后进行DecryptStringabc123()解码,该系列样本并未使用太过复杂的加密编码手段,可以看到,都是类似一些”编码”的处理,值得注意的是这些编码的技术在逐渐加强。

图 2 – 编码函数2

2.3 通信过程

  恶意应用会在首次运行和开机运行之后启动TService服务,TService则会立即启动CMainControl类开启一个用来执行恶意行为的线程:

  在CMainControl类中会先通过postPhpJob()方法上传手机的一些硬件信息进行“注册”:

  这些硬件信息将会通过post请求进行上传:

  在上传文件的http->post方法中使用“ahhjifeohiawf”的字符串作为boundary分隔符:

  如果“注册”成功,远程服务器将会下发后续用于通信的IP和Port信息:

  注册完成后将会利用远程服务器返回的IP地址和端口开启一个Socket长连接:

  恶意应用采集到的隐私信息将会通过Socket发送到远程服务器,从Socket中获取输入、输出流以便用来进行后续通信:

  在连接建立后先执行一次mSendReport()操作,该操作会构造”ejsi2ksz”+Mac+IP的byte数组,然后进行一些类似校验和的字段填充操作:

  然后对byte数组进行简短的加密操作之后进行发送:

  mRecvPkgFun()负责解包从远程服务器通过socket流传递过来的信息:

  解析远程发送过来的控制指令,并根据指令执行相应的恶意行为:

2.3 通信指令

  我们注意到,这些指令在代码中并未使用到,只是硬编码在CCommandType类当中,而且部分指令的实现部分没有编写,我们猜测该家族可能还会持续升级迭代版本。

三、总结

  该间谍软件没有使用常规的http/https方式进行远程通信,而是使用了socket的方式进行通信,这样在一定程度上可以规避流量的查杀,远控的设计精细程度具有一定的高度。早在2012年,我们就捕获到了该家族进行隐私窃取的Demo样本,并在漫长7年时间中陆续捕获了该家族流出的大量测试样本,其中在2014和2016年分别捕获到两个疑似已经投放到市场中的该家族的间谍应用,最近一次捕获是在2017年底,最新的样本中关键代码基本未变,但是从整体代码结构可以看出其编写更具规范性和逻辑性,我们推测该家族可能还会持续迭代样本以在Android平台进行针对性的隐私窃取。

  自2012年至今,该间谍家族已存在7年之久,纵使其恶意攻击技术不断改进、恶意病毒不断蔓延,却也迎来了他的“七年之痒”,目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,抵御恶意病毒攻击,保护个人信息安全。

  隐私窃取目前仍是各个国家面临的最严重的网络安全威胁,从早期的PC平台到愈演愈烈的Android平台,受助于移动平台的流行,越来越多的攻击行为将战场转移到了Android平台,这对移动安全厂商的查杀能力提出了新的、更高的要求。安天移动安全深耕行业8年,反病毒能力得到第三方测试机构和合作伙伴的认可,对恶意病毒具有全覆盖的查杀能力。

  附录:SHA-1

  6A589EF09A6A631D366D744D7E4478434B200D0B

  F62C302409763241F4BFB2FCB758F4A4CEA2C090

  D3602D88D20D0FA1598A9FDBC0758DD4CF7FACB2

  EE01EBE1C4036D7F1FCCD5041F0E5652BF64FE3F

  10F69A4C8C030781805FFD69DCFCA7469E6E9782

  14E9F12C6C5F5BAD6ED5A3D15CBB3349E5E3D64E

  7BC025021E76A9660222961D32F8A4ED1119A78E

  D8E9205E1ECE91A004A22267820E90C12D976743

  F4D4C29F59211767C14D44ED10B0F5B4F8F3EEB0

  06DB46DB51071A7689D11CC2B11C7C873F4C0C4C

  A781128ED4C728681A686993AE5D5BCAD1F01F6A

  45372FD67F090111E0E1AAC1DDA674693BDA3807  

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5264

更多技术文章,请关注安天移动安全官方微信号

ZipperDown漏洞,炒作还是一触即发?

一、概述

  近期,ZipperDown漏洞被披露,该漏洞影响Android和iOS两大平台,其中iOS应用市场多达10%的应用存在该漏洞,且不乏多款热门应用,引发业界强烈反响。安天移动安全第一时间启动对该漏洞的应急响应,希望客观公正地反映其对支付行业的影响。调查研究发现,该漏洞是由于开发人员未对压缩包中的解压路径进行校验,导致攻击者可通过构建恶意压缩包进行路径穿越攻击,且行业中有超过3成的应用存在该漏洞。然而该漏洞的真实影响还需具体结合应用业务进行排查,不应过分夸大,更不应忽视,安天移动安全将免费提供技术支持携手相关各方联手进行安全排查,将风险降至最低。

二、漏洞预警说明

  Zip压缩包路径穿越简述

  Zip压缩包是一中常见的压缩文件格式,Zip压缩包支持打包文件中的文件名包含上级路径。如下图所示,压缩包update.zip中包含了一个文件libpay.so,但是该文件的路径为“……\”,当该文件被解压时,如果没有进行相应处理,那么该文件将会被解压到相应的上级目录中,实现了路径穿越,即真实解压后,其路径为[预期解压位置]……\libpay.so,穿越了当前预期解压位置,到达了攻击者想要构造的任意路径。

  “ZipperDown”漏洞描述

  当前大量应用均会读取zip压缩包进行相关业务,最常见的场景就是从服务器下载压缩包,进行资源、代码热更新。通过Zip压缩包路径穿越描述可知,如果攻击者通过技术手段,如远程劫持或本地替换等方式将应用加载的zip压缩包替换成存在路径穿越的恶意压缩包,而应用又未对解压文件进行路径判断,攻击者便可以对应用资源、代码进行任意篡改、替换,从而实现远程代码劫持等高危操作,危害应用业务场景。

  分析发现,“ZipperDown”漏洞是一个应用层面的漏洞,应用如果没有对解压文件进行路径穿越问题的防护,就存在“ZipperDown”漏洞。

  “ZipperDown”漏洞对支付行业的影响

  本次ZipperDown漏洞事件发生后,安天移动安全第一时间启动该漏洞的应急响应流程,同时对支付行业应用进行了初步的安全检测,希望客观公正地反映漏洞对支付行业的实际影响。

  目前,在智能POS支付类应用、非支付类应用以及手机相关支付类应用中,均发现部分应用存在ZipperDown漏洞,虽然智能POS应用较之手机应用业务场景相对简单,但是结果显示仍有近3成的智能POS应用存在相应安全隐患。

  安天移动安全经研究深度分析后认为,该漏洞的真实影响还需结合应用自身业务场景进一步排查,不能简单粗暴判定该漏洞是否一定会真实危及业务场景。同时,有部分应用是由于采用第三方库而引入该漏洞,其风险也需要进一步评估后跟第三方库开发者沟通。

三、漏洞原理分析

  下图为存在“ZipperDown”漏洞的一个应用代码示例。

  可以发现,当在尝试解压的时候,对于zip包中的文件,其路径名可能存在路径穿越问题。当应用加载存在路径穿越的恶意压缩包时,由于缺少对路径的校验,使得恶意压缩包中的内容通过路径穿越,覆盖原应用文件。以libpay.so为例,攻击者构建的update.zip中存在路径穿越的恶意运行库libpay.so,解压后替换本地原来的库文件,就成功的在当前程序中插入了恶意运行库,进而实施信息窃取、业务劫持等操作。

四、修复建议

  针对“ZipperDown”安卓高危漏洞的威胁态势,安天移动安全建议从排查和修复两方面入手,先对市场运营方所有应用进行漏洞检测和分析,随后结合业务场景进一步明确漏洞危害以及制定相应修复建议。具体策略建议如下:

  step1:针对应用市场已上架和将上架的应用,需要进行应用“ZipperDown”漏洞专项检测,确定其是否存在 “ZipperDown”漏洞,保证源头安全。安天移动安全可免费提供检测工具和技术支持。

  step2:针对存在“ZipperDown”漏洞的应用,需要结合业务场景进一步分析,从而明确漏洞危害,并且制定相应修复建议。参考修复建议如下,开发者可以根据自身业务场景需求,选择最适合自身业务的策略。

  ·应用在加载外部zip压缩包时,需要对压缩包中解压路径进行校验。

  ·应用在加载外部zip包,可以采用校验机制,确保加载的zip包确实为合法zip,没有被替换。      ·应用下载zip包的通信信道,采用安全通信通道确保不存在被篡改、劫持、替换的可能。

  此外,针对由第三方库引入而导致的风险,需要开发者协同第三方库开发者沟通共同制定修复方案。安天移动安全可免费提供咨询服务和技术支持,携手市场运营方、开发者以及第三方库开发者共同解决“ZipperDown”漏洞安全隐患。

五、总结

  zip文件路径穿越并不是一个新问题,早已被安全分析人员披露,但是一直未引起行业广泛重视。本次ZipperDown漏洞爆出,披露的相关数据说明“安全无小事”,即使很小的一个安全隐患,如果没有严肃认真对待,也可能引发严重的安全后果。同时第三方库导致ZipperDown漏洞的引入,也说明如今安全已不单单是一个单点问题,它需要生态的参与各方一同携手联动,共同构建安全生态,避免风险的引入。

  网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。智能商业终端作为金融领域中的关键信息基础设施,无疑是是网络安全的重中之重,因而产业的参与各方应当携手多方联动,切实做好国家关键信息基础设施安全防护。

  近年,安天移动安全积极涉足智能POS防护领域,以多年的移动安全技术与经验为基础,通过与多家知名智能POS厂商和大型支付机构的合作,针对智能POS提出了一套完整的安全解决方案,在威胁的事前、事中和事后阶段形成全生命周期的安全防护,为智能POS终端厂商及支付机构提供高效的移动安全产品与服务,为个人消费者提供全方位的支付安全防护。

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5234

更多技术文章,请关注安天移动安全官方微信号

不仅仅是利比亚天蝎

前言

  2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全报告[1],报告中指出,一批恶意软件通过社交程序Telegram广泛传播,主要针对有影响力的社会名流和政治人士。当时,安天移动安全和猎豹移动进行了持续跟进,并发现该恶意软件进行了持续的更新和改进,攻击的目标国家也从利比亚转移到了其他国家和地区。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的风俗文化和手机使用习惯,诱导目标群体安装,获取大量的隐私信息,具有很高的组织性和隐蔽性,以下我们将对该攻击进行详细的说明,以期能够对事件尽可能的勾勒。

1.简要分析

  安天移动安全与猎豹移动联合发现的这批恶意软件,皆为商业RAT软件,主要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该组织通过这些商业RAT软件攻击目标用户,实施隐私窃取。其仿冒对象有系统应用、工具应用、生活应用、新闻应用、宗教应用、社交应用等,并对攻击目标有着深入的了解,具体如下表所示。

  通过捕获的样本可以发现该系列病毒除了攻击利比亚地区,还活跃在伊拉克、巴基斯坦、印度、土耳其等国家和地区。可见,该组织有着广泛的利益诉求,对热点地区有着深入的关注。

2.攻击事件轴

  该组织的主要活动时间为2015-2016年,在对利比亚目标进行攻击的同时,也进行着其他地区的情报窃取,是一起有着广泛传播的事件。同时我们也观察到,在沉寂一段时间之后,该组织下的恶意软件又开始活跃。

3.恶意代码原理分析

  MD5:D555FB8B02D7CC7D810F7D65EFE909A0

  恶意模块包结构:

  通过MainActivity加载Controller类:

  Controller这个类为主要恶意类,用于解密出C&C地址和初始化并加载隐私窃取的恶意子模块:

  私自摄像:

  子模块包括窃取用户短信、联系人、通话记录、地理位置、浏览器历史记录、手机基本信息、WhatsApp软件信息记录,私自录音、监听通话、驻留手机系统等行为。

  JSocket RAT 原理分析

  MD5:3FDCB70A70571A5745F4EE803443FEBC

  该应用一般会在AM文件设置一个广播和服务用于启动恶意模块:

  恶意模块包结构:

  通过MainService开启主要攻击线程:

  从C&C接收远控指令,解析指令执行相应恶意行为:

  指令包括窃取短信、联系人信息、通话记录、浏览器书签、GPS地理位置信息、wifi信息、手机设备基本信息、社交应用信息,私自录音、录像、拍照、下载其他软件、发送短信等行为。

4.总结

  近几年,移动端的定向攻击越来越多,商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有个人身份属性的信息,成为恶意攻击中的重要一环;与此同时,由于移动设备的边界属性和高社会、高隐私属性,一旦攻击成功,极有可能导致攻击结果出现雪崩效应,损失不断扩大。

  而针对高价值用户进行的定向攻击往往是移动威胁对抗中的经典长尾问题,尾部安全事件由于其受众明确、攻击意图直接、涉及用户重度隐私的特点,往往给目标受害群体带来了不可估量的损失。对此安全厂商更需要密切关注并持续提升长尾威胁的对抗能力,真正为用户侧的移动安全保驾护航。

  参考资料:[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5216

更多技术文章,请关注安天移动安全官方微信号

2017年安天移动安全年报—起承转合间的方兴未艾与暗流涌动

1 序言

  2017年,全球范围内信息安全状况呈现出了逐渐恶化、不容乐观的严峻趋势:随着互联网所承载的To C服务类型日益增多,以及各类服务的覆盖面和用户粘性日益加深,传统信息安全预警下的“业务数据风险”转嫁到“用户数据风险”的可能性相较先前变得更高,各业务系统中不同类型的的用户数据如用户行为数据、用户特征数据等有可能成为“定时炸弹”,给用户本体带来极大的安全风险。

  过去十年间,诸如iOS,Android,Symbian及WP/WM平台等移动操作系统的出现带动了各类通讯设备由非智能向智能的跨跃性发展,而藉由第三代UMTS/第四代LTE高速蜂窝通信网络为发展信道,又带动了移动互联网及其相关产业的迅猛发展,其中移动商务、移动社交、移动支付等互联网应用飞速占据用户日常生活的方方面面,使得用户与设备间的绑定关系日益增强。

  这一趋势中,中国作为互联网及互联网产业大国,各类经由互联网To C的服务面在全球范围内尚处领先,覆盖到的用户数量极为庞大,尤其以透过移动应用(也即俗称的App)及HTML5手机站点使用服务的用户为主;与此同时,国内互联网公司亦常常扮演互联网新业务实践与业务模式探索的先行角色。因由“业务先行”的探索理念,在这些新业务上线运行过程中,其业务安全、业务数据安全及用户隐私保护等在其他领域较为成熟的安全体系建设则往往无法到位,甚至互联网公司本身就扮演了过度保存并滥用用户隐私数据的角色。这就导致大多数时候,用户一方面使用着为生活带来各类便利的新兴互联网服务,另一方面则面对着来自于多渠道、多种类的信息安全风险而不自知。

  在移动产业发展的巨大变革过程中,信息安全的“攻”与“守”之道往往也是共生并进的。2017年,移动安全和威胁对抗不断迈入新的阶段,而所谓“方兴未艾”与“暗流涌动”,也能够很好地体现于此:

  •针对移动网络,除持续对普通用户信息安全造成影响的传统电信诈骗之外,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户的精准电信诈骗,且近年来俨然成为一种常态化威胁,新增的受害用户数量不可小觑;

  •近一两年,随着PC端出现诸如WannaCry(魔窟)等目标明确、影响广泛的勒索软件,移动终端也出现影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据安全造成致命威胁,给用户带来各种形式损失,还可能使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制,影响极为严重;

  •部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)出现更为频繁,这些恶意软件往往具备攻击的精确性、战术性及较完善的攻击链逻辑,在考验基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的传统威胁对抗模式的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息持续性泄漏,且往往在发现时就已造成难以衡量的恶劣影响。

  正如习近平总书记在视察安天集团总部时所指出的一样,“网络安全是国家安全的重要组成部分”,而2017年《中华人民共和国网络安全法》的正式实施,也从国家层面将网络安全的重要性提升到了一个前所未有的高度,信息安全的保障进入有法可依的阶段,网络安全事件的相关处置也有了惩罚依据。在这样的语境之下,无论从用户角度或是第三方安全团队角度来看,任由类似水平的风险暴露在各方面前,都是严峻且难以被接受的。安天移动安全团队面对当前的移动安全对抗形势,坚持“安全技术必须服务客户安全价值”的原则,以对抗新兴恶意威胁为己任,砥砺前行:

  •过去一年中,我们与更多移动终端厂商、移动应用厂商及政企建立了合作,并为其提供成熟的AVL Inside移动安全解决方案,包括恶意代码检测防护、Wi-Fi安全防护、URL安全性检测、支付安全防护、漏洞跟踪修补等服务。基于全面的合作,希望加强和推动更广阔的产业链协作,以移动终端安全为起点,将防护边界延展到包括移动应用商店安全合规性审查、APP安全性评测等环节在内的全程产业链之中;

  •我们在完善原有“Insight 2.0移动威胁情报平台”之外,在当前的安全大数据体系之中融入分析建模及机器学习技术,开发了“Section 9网络安全情报大数据分析平台”,试图基于互联网安全大数据,为专门行业及具备专门需求的客户提供网络安全情报专项调查、情报挖掘及研究能力,旨在提高相关客户对威胁事件的感知、预警、分析、取证、响应和处置能力,以达到尽量提前感知威胁、减少反应延时的目的。

  而这一份《2017年安天移动安全年报》(以下简称《年报》),则主要体现了安天移动安全团队过去一年中对于新兴移动安全威胁的观察、研究及分析思考,以及由安全大数据分析研判得出的安全总体趋势判断、和由各业务条线实际工程项目中归纳总结出的经验。

  安天移动安全团队希望通过《年报》的传播,不仅能够与移动安全行业从业者、移动互联网相关企业及相关专业技术人士分享过去一年移动安全的总体形势,传达团队过去一年的所见、所为及所思,更能够为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。

2 起:基于数据的总体形势分析

  本章节中,将以安天移动安全云端安全监测引擎在过去一年所捕获的各类数据为基础,就各不同关注视角进行筛分统计,并从宏观角度作出初步分析。

2.1 恶意应用数量整体增长趋势

图2-1:2011年-2017年 Android 恶意应用数量增长趋势(单位:个)

  如上图所示,安天移动安全统计了自2011年以来每年度捕获的Android恶意应用样本量,从中可以发现,由于第四代LTE高速蜂窝网络(即俗称4G)在国内的发牌落地商用、基站建设覆盖及高载波聚合(MIMO)等技术的运用,高速蜂窝网络的可用性及用户使用意愿都越来越强,各色应用可承载的服务随网络时延及抖动减小变得更多,各类应用样本通过蜂窝网络传播的可能性也随着网络速度及信号广度的增加而增加,而攻击者敏锐地捕捉到了这些趋势,并加以跟进制作相关恶意应用。故恶意样本量自2014至2017年间均呈现出倍数或近倍数级的年度增长。而另一个导致恶意样本量倍数级增长的原因是,智能手机用户在这一时间区间中亦产生相对爆发式的增长,这是由于国产手机品牌的崛起,导致手机尤其是智能手机单价明显下降,以及以Android为主的移动操作系统本地化(由国内手机厂商主导)日益完善。

  就统计数据来看,尽管2017年恶意样本数量就增长趋势来说有所放缓,相对2016年而言并未再次产生倍数级的增加,但其近千万量级的绝对数量仍然不可掉以轻心,尤其是随着当前互联网游戏、直播、办公及线下服务等应用的发展成熟,这些应用受到各种形式恶意应用影响的可能性也就越大,需要格外留意。

2.2 影响用户数最多的恶意应用 TOP 10

  安天移动安全团队从2017年云端大数据监测结果中就“恶意应用”进行筛选统计,并对影响用户数最多的10个应用进行用户数量统计,结果如下表(HASH最后5位隐去):

表2-2 2017年影响用户数最多的恶意应用 TOP 10

  影响用户数量最多的恶意应用TOP 10中,7个为伪装或捆绑于游戏应用上的恶意应用(模块),2个为伪装或捆绑于成人色情应用上的恶意应用(模块),而排名第一的属于恶意应用植入木马执行文件过程的中间应用。从其行为上来辨别,其中3个为涉及恶意扣费的恶意应用,5个为涉及隐私窃取的恶意应用,剩余1个涉及系统破坏及1个涉及恶意传播的恶意应用。

  由上表的统计结果,不难发现,无论恶意应用是伪装或捆绑在游戏或是色情应用之上,会安装这些目标应用的用户都符合“不具备可疑应用甄别能力”以及“对相应主题应用较无戒心”的特点,只要攻击者制作一个功能完备的游戏或色情应用,并找到适当的传播方法,结合国内Android应用生态碎片化的特点,就有可能在类似的同类人群(设备)中造成较为广泛的传播及感染;而这些恶意应用的行为类别,无论是恶意扣费或是隐私窃取,相对具备远程控制行为的恶意应用,其往往对系统本身运行速度影响较少,且具备令受害用户“事中难以感知,事后发现时延较长”的特点,将可能给攻击者带来更多的不法利益,一定程度上使得更多的恶意应用变种不断出现。

2.3 恶意应用行为类别分布趋势

图2-3-1:2016、2017年 恶意应用行为类别分项统计图

  安天移动安全针对2016及2017年云端引擎监测捕获到的所有恶意应用的行为进行统计,并按照不同的行为类别进行归类,分析各类恶意行为在监测结果中的占比,如图2-3-1所示。而下表则对各类行为分类进行了详细描述,并且将各类恶意行为在2016年与2017年的占比进行对比:

表2-3-2:恶意应用行为分布占比表(以主要行为或唯一行为区分)

  如上表所示,可发现持续对用户信息安全产生较大影响的TOP 5恶意应用行为包括流氓应用、资费消耗、恶意扣费、隐私窃取类及远程控制;值得一提的是,这五个类别的恶意应用往往具备多个功能模块,例如某一扣费应用往往也可能具备恶意传播的模块,故从占比来看,仅具备诱骗欺诈、系统破坏及恶意传播模块的应用相对较少。在这其中:

  •流氓应用为PC端向移动端持续转移的安全威胁,大多数以“设计无法卸载、难以卸载或无法彻底卸载”持续推广牟利,或是收集少量用户信息(相对“隐私窃取”较不敏感的信息)回传。这一类应用对用户的隐私影响相对较小,但可能影响设备的硬件表现,并影响用户对设备的使用体验。

  •资费消耗指恶意应用会通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,产生相关业务消费,导致用户资费损失。这一类应用往往会在影响用户对设备使用体验的同时,产生大量资费消耗,可能导致用户设备号码沦为“语音/流量‘肉鸡’(与‘远程控制’对用户设备的控制程度存在区别)”。此外,该类应用还有可能通过流量下载其他控制应用,从而加强对用户设备的控制程度。

  •恶意扣费行为往往属于“黑色产业链”中用户端的环节,即用户设备在安装相关团伙制作的恶意应用后,自动通过短信等模式静默订阅,或是通过前端界面欺骗用户订阅较昂贵的SP服务(实际上并不产生任何服务),而相关团伙通过这些与之合作的SP端公司私下进行利润分配。这一类恶意行为能够确实地给相关团伙带来利益,其恶意应用软件包往往制作较为成熟,其恶意行为较为隐蔽,相关恶意应用数量及恶意模块变种数量也较多。

  •隐私窃取类行为则往往是通过用户安装的应用直接或间接获取用户个人隐私信息(如通讯录,短信收件箱、各聊天工具记录等),并向其服务器进行回传,较易导致任何形式的重要信息泄露,此外通过结合“撞库”等社会工程学攻击手法以及各版本操作系统可能具备的0day(或Nday)漏洞完成攻击,可能导致用户因这一类恶意行为而产生更为严重的损失,需尤其注意。

  •远程控制指在安装了恶意应用的用户不知情的情况下,其设备接受远程控制端指令并进行相关操作,完全成为控制者的“肉鸡”,遭到彻底的控制。值得一提的是,具备这类行为的恶意应用与“隐私窃取”类相似,可能在取得权限的过程中使用一些0day漏洞(如能够取得Root权限的CVE漏洞等),危害较为严重,需尤其注意。

2.4 移动应用及恶意代码加固趋势

  众所周知的,Android应用程序的开发由Java语言主导完成,而Java代码存在较容易被逆向分析的特点,同时由于移动端应用承载服务多样的特殊性,各类服务中往往有一些存在较高安全考量的服务,例如银行、金融及电商客户端等,继而催生了市面上各类的移动应用“加壳”加固技术,自2013年至今,国内安全行业已萌生出数十种商业或免费加壳技术,如360、腾讯、爱加密、梆梆等,同时私有加壳技术亦难以胜数。

  一般而言,加壳技术往往被用于正当用途的商业服务应用,但除了具备价格门槛的商业加壳服务之外,亦有相当数量的免费加壳服务在互联网上被提供,从而遭到各类木马、仿冒等恶意应用的制作者滥用,通过这些免费加壳服务来规避各类基于特征码的杀毒引擎查杀;并且,“脱壳”技术的不断发展,以及近两年各种目的特殊、具备高“免杀”需求的特种木马出现,也催生了加壳技术的进一步发展,尤其是商业加壳技术。

图2-4:2013-2017 移动应用及恶意应用代码加固技术部署趋势示意图

  上图是安天移动安全团队就云端安全引擎在2013至2017各年所捕获到的加壳正常应用样本及加壳后的恶意应用样本(即加壳黑样本)数量进行统计后绘制的趋势示意图。从中我们可以发现,恶意应用对加壳技术的运用在2014年之后就进入较为普遍的状态。在2014-2015年及2015-2016年的两个时间区间内,我们也察觉到了加壳恶意应用绝对数量的快速增长;而2016年至今,我们每年捕获的加壳恶意应用数量均超过了正常应用数量的50%,可以从一个角度说明加壳技术遭到恶意应用使用的广泛性;但同时,由于加壳技术(尤其是私有加壳技术及商业加壳技术)会导致各类杀毒引擎更难对恶意代码进行检出,可能导致一定程度的威胁增加,加之2017年加壳恶意应用的检出数量仍在百万级,检出数量的变化趋势也不容乐观。安天移动安全团队认为,代码加固技术在移动恶意应用上遭到滥用所带来的威胁仍然处在高位,且短时间内将保持这一威胁水平。

2.5 恶意仿冒应用数量增长趋势

  自手机应用软件概念面世以来,“仿冒应用”就是其一直无法回避的问题,也是安全行业各方未能彻底解决的安全问题之一。事实上,当前仍然猖獗的恶意仿冒应用,对各行业客户及其用户都存在着较大的安全威胁,且一条以恶意仿冒应用为中心的“黑色产业链”俨然已经形成,多数仿冒应用往往以伪基站发送的短信(或正规SP发送的垃圾短信)及钓鱼网站作为入口,使用户安装了恶意应用却毫无察觉,以为自己安装的是正版应用;同时,我国境内移动应用传播渠道较为混杂,缺乏Android官方权威应用市场的同时,各类第三方市场数量不可胜数,但这些第三方市场常常缺乏对其提供软件及其来源的安全性、合法性审查,导致市场本身亦成为各类恶意仿冒应用传播的来源。恶意仿冒应用在通过上述渠道被用户安装后,往往会一方面通过高伪装度的UI界面及交互避免被用户发现并卸载,一方面通过其携带的恶意模块或通过应用功能安装的其他木马应用来窃取用户隐私、控制用户设备等。

图2-5:2011-2017 恶意仿冒应用数量增长趋势示意图

  如上图所示,安天移动安全团队对2011年至2017年间恶意仿冒应用新增量的监测结果按月份进行了统计。结果如下:

  •自2016年底开始,每月新捕获的恶意仿冒应用开始突破1000个;

  •2017年全年,平均每月新捕获的恶意仿冒应用数量达到了五位数;

  •全年的高峰发生在2017年3月,该月新捕获的恶意仿冒应用为44651个;

  •当前恶意仿冒应用每月新增量仍然具备波动增加的趋势。

  由于当前由移动设备承载的服务类型越来越多,尤其是互联网办公、政务服务、金融服务等高保密性、高安全性需求的服务亦逐步从传统B/S架构转移到移动端C/S架构,结合当前捕获的每月新增量趋势,安天移动安全认为,恶意仿冒应用应引起各类服务运营商及外部安全公司的高度重视,同时作为普通用户,应加强应用甄别能力与基本的安全意识;针对较重要的服务应用,应尽量从官方网站渠道获取确保安全的应用软件,而不是任何第三方应用市场;同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

2.6 短信拦截木马数量增长趋势

   “短信拦截木马”实质上是一种可以拦截用户短信的木马应用,其往往以模块形式与其他应用捆绑(捆绑的亦可能是其他形式的仿冒应用)发布,它可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容在后台发送到攻击者的手机和邮箱中。这类木马应用一般主要获取用户短信(包括收件箱、发件箱)中包含的个人隐私信息,如用户姓名、手机号、身份证号、银行卡账户、短信验证码、支付密码及各种登录账号和登录密码等,不仅造成个人用户隐私泄露,同时还使攻击者通过盗取的用户信息达到盗刷银行账户、窃取用户财产的目的,从而直接对用户的个人隐私和财产安全产生较严重的威胁。这一类木马应用开发成本往往很低,且代码简易、具有较高的可复用性,导致其容易遭到修改或复制产生新变种,从而将相关的样本总量堆砌到相当庞大的数量级。

图2-6:2014-2017 短信拦截木马数量增长趋势示意图

  如上图所示,安天移动安全团队选取了2014年至2017年各月对短信拦截木马的监测结果进行统计,结果如下:

  •每个月都有超过1000个短信拦截木马(不同变种视为不同的拦截木马应用)被捕获,标志着这一类恶意应用的威胁形势依然严峻;

  •同时,2016年、2017年,短信拦截木马在每年农历春节前后都发生了爆发性的增长,尤其是2017年,1月至3月捕获的短信拦截木马数量是全年其他月份捕获总和的2.5倍;

  •2017年2月新捕获的短信拦截木马为监测以来最多的,为77637个;

  •短信拦截木马每月新增量仍然具备波动上升趋势。

  事实上,农历春节前后往往容易存在较多需要短信验证码的的手机金融交易(如手机转账、支付、取现等),各类用户的短信内容中也较易出现敏感内容(如人际关系、电话号码甚至证件号码等),这一数量的爆发,恰恰说明了攻击者在相关技术成熟后,亦开始以盗刷、窃取为目的的攻击结合社会工程学原理,配合“业务热点时间段”进行有计划的部署;因此,作为对普通用户的警示,应注意对类似“业务热点时间段”所可能产生的较高信息安全风险保有一定防范意识,定期为移动设备,尤其是安装了各类涉及金融及隐私信息处理应用的移动设备进行病毒查杀,同时利用外部杀毒软件及框架级安全软件保护移动设备安全。

3 承:移动安全焦点问题梳理

  本章节中,将通过对当前影响较为显著的移动安全问题进行梳理、分析,并对其在2018年的风险给出发展方向方面的预测,供您参考。

3.1 互联网业务数据风险及影响日益明晰

  近年来,随着信息技术及互联网的快速发展,以及移动通讯设备端高速蜂窝网络(UMTS、LTE)的发展,诸如购物、外卖等各类用户在线下渠道较为明显的服务需求向移动互联网平台转移趋势十分明显,这一些服务往往存在移动客户端与Web/WAP站点共存提供服务的情况,多个“前端”用户界面对应同一“后端”应用系统,较易存在与传统Web安全相关的风险,例如SQL注入、跨站脚本(XSS)、敏感信息泄漏等;而与此同时,也有大量结合其他信息科技领域技术推出的新兴互联网服务面世,例如当前炙手可热的“互联网金融”、“网约车”、“付费帮忙”、“直播”等服务,这一些服务在发展过程中则往往完全摒弃Web界面,使用客户端作为其唯一入口,其中一部分使用标准客户端的编写模式,利用服务端接口与客户端通信,而另外一部分则仍然延续了WAP站点提供服务的思路,利用Webview组件实现各模块页面文件对功能的支撑,或是直接将服务器URI地址编译到客户端中,形成了“伪客户端式”的存在,相对来说存在安全隐患的可能较大。

  事实上,当前互联网所承载的To C(对用户)服务类型日益增加,各类实际业务覆盖面及用户粘性也日益加深,尤其像“分期借贷”、“信用”、“金融”等新兴类目的互联网服务,其涉及的用户数据类型及维度杂糅到前所未有的地步。这不仅使得传统信息安全预警下的”业务数据风险”转嫁到”用户数据风险”的可能性相较先前变得更高,也使得各业务系统中不同类型的的用户数据、用户行为数据及用户特征数据成为了对用户本体造成极大安全风险的”定时炸弹”。

  例如:2017年11月“趣店”网站平台的数据泄漏,虽然事件本身仍然是传统意义上由黑色产业链主导形成的数据泄漏事故,但其平台业务类型较为特殊,导致涉及泄漏事故的数据维度数较多(包含每一用户在多个不相关的业务范畴产生的业务数据,如图中亲属关系及联系方式、“学信网”学历数据、身份信息等),其数据本身价值与泄漏造成的危害均较大,如下图。

图3-1: “趣店”平台数据泄漏部分截图(来自互联网)

  鉴于目前互联网服务相关业务数据的风险已处于较高位,同时其风险可控程度可能由于数据体量扩充(TB级扩充到PB级甚至EB级)、数据架构改变(传统数据存储变更为大数据仓库为中心)等因素而同步降低,安天移动安全团队倾向于认为,2018年类似的风险仍将维持较高或略有升高的水平。

3.2 体系化的电信诈骗手法层出不穷

  针对智能移动终端设备,除去过往频发的传统电信诈骗及2G/3G伪基站诈骗之外,随着近年来第三代UMTS/第四代LTE高速蜂窝通信网络在我国境内的飞速发展,更衍生出了基于仿冒应用、短信拦截木马、短信蠕虫等针对智能手机用户,依托移动端应用进行的精准电信诈骗,其手法“层出不穷”。

  从2017年内的状况来看,类似的精准电信诈骗俨然成为一种常态化威胁,新增的受害用户数字至今仍不可小视,而究其原因,则是攻击者或涉事团伙往往敏锐地根据某一时段或某一领域的热点,精心设计容易吸引受害用户的功能点进行伪装传播,结合短信拦截、短信蠕虫技术,最终形成影响较广的树状传播状况。例如年内多次出现的,针对热门手机游戏“王者荣耀”的恶意仿冒应用,以及伪装为其“外挂”、“攻略”等衍生应用的木马应用,或是针对找寻热搜影视剧资源精心设计的“影视剧下载器”、“网盘资源集合”等,这些应用在选择仿冒主题时即已对目标人群实现了精准过滤(手机游戏玩家、影视剧资源搜索者往往在游戏虚拟财产或额外功能面前抵抗力较弱,且这一类人群往往安全防范意识较差),且攻击者通过精心设计的交互过程,能够恰当地触及用户“痛点”(如安装后赠送“道具”,或是免费“抽奖”、获取“会员”下载“加速”等),使受害者主动安装并遵循木马应用的指引,从而沦为此种精准电信诈骗的受害者;并且,此类木马应用往往附带有短信拦截及短信蠕虫模块,用户设备往往会在受木马应用感染后激活该模块,读取用户通讯录的同时,对木马应用进行基于社会工程学的自动次生传播,传播成功率往往较高。正如下图所示,安天移动安全团队在对一部分短信蠕虫受害用户的感染来源进行抽样统计的过程中发现,熟人次生传播成功的占比甚至达到70%。

图3-2: 短信蠕虫受害用户感染源抽样统计

  考虑到智能移动终端设备用户群体涵盖面极广,其中较大比重的用户安全意识较为淡薄、且缺乏对相关恶意应用的甄别能力,而当前任何形式的反病毒引擎也较难做到“万无一失”,故安天移动安全团队倾向于认为,基于仿冒应用、短信拦截木马、短信蠕虫的精准电信诈骗在2018年仍然会是较大的安全威胁来源。

3.3 传销诈骗“互联网化”趋势不可忽视

  随着第四代LTE高速蜂窝网络(即俗称4G)发展带来的线下服务移动互联网化,原有线下渠道的一些负面问题也在移动互联网平台上日益凸显且不容忽视,而那些“互联网化”后与传销诈骗高度类似的行为,在其中占据了一定份额。

  出于这类恶劣行为对公共安全及社会长治久安可能带来的潜在负面影响,安天移动安全团队在2017年底编写了《2017我国移动端传销诈骗类威胁态势分析报告》(详见http://blog.avlsec.com/2017/12/5083/paper/)。就团队在报告形成过程中的初步分析能够发现,截止2017年底,仍然有大量可能涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚,其受害用户范围较广,数量较多,造成了十分恶劣的影响。

图3-3-1 2017年Q4疑似“互联网传销诈骗”影响用户数分省统计(单位:位)

  这些类型的应用及网站,往往通过以下几种方式进行传播:

  •线上群组推广传播,如QQ群、微信群等;

  •线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游内聊天系统等;

  •线下熟人间推广传播;

  •线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。

图3-3-2 各级政府部门多次对类似风险发布警示

  尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为打击整顿的力度,并向公众频繁发布警示,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。

  对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而无论传统传销还是互联网传销,其核心受害人群一般都不具备或较少具备这样的能力,一旦互联网传销诈骗团伙利用时下火热、常见的关键词作为其传销诈骗行为的外壳进行包装(如虚拟币、电商返利、“玩游戏赚钱”、国家“一带一路”等,而实质上仍是变种的“庞氏骗局”),这一类核心受害人群将毫无疑问地上钩。鉴于此,安天移动安全团队认为,不仅2017年传销诈骗“互联网化”的趋势不可忽视,2018年这一类活动仍然会为部分普通移动用户带来安全隐患,需要多方力量进行共同防御和对抗。

3.4 “共享”服务大潮下的安全风险触目惊心

图3-4:时下火热的各类“共享”服务

  2015年被社会各界公认为是中国“共享经济”的元年。自2015年至今,以出行(如早期的Uber人民优步、滴滴顺风车以及时下的共享分时用车)、租赁(如共享办公位、共享睡眠舱,又如共享充电宝、共享车位等)、人力(如市内跑腿服务、物流众包等)等领域为代表的共享经济在全国各地落地生根,高速发展。享受到便利的同时,其实各类“共享”服务与用户信息安全之间却有着难以忽视的安全问题,而其中隐藏的安全风险更是触目惊心。

  迄今为止,大多数的共享服务为使用户体验更加快速便捷,基本都使用了手机客户端作为其服务的唯一承载形式,也即“用户必须下载安装,并使用手机客户端来使用共享服务”,且其中大部分服务均采取“手机号验证注册并登录->用户凭借证件(或人脸识别等)实名认证->扫码使用共享服务”的业务逻辑。为了一观其各环节之间的风险,我们将在每一环节列出两点常见但又容易被忽视的安全问题。

  • 手机号验证注册环节:

  1. 用户使用的手机号可能是他人曾经使用并认证过的,可能导致实质上的用户敏感信息泄漏,信息易被用作社会工程学攻击用途;且后使用的用户被默认拥有合法访问该信息的权限,难以追溯、查证影响及扩散范围;

  2. 用户使用手机号码获取验证短信,但用户手机本身可能受到伪基站影响,或是由于运营商的其他业务(例如移动系统中曾出现过的“短信保管箱”业务)、手机厂商内置短信分析框架等因素导致验证码泄漏,使得他人能够获得用户账号使用权限,导致用户实质权益受损。

  • 用户凭借证件实名认证环节:

  1. 用户实名上传了证件照片,但由于使用了公共Wi-Fi网络,或是网络环境下的路由器遭攻击者攻破,导致MITM(中间人攻击)产生,无水印的证件照片泄漏,造成用户敏感信息泄漏,且可能因为证件清晰照片泄漏导致严重的次生损害;

  2. 用户人脸特征信息(或指纹、虹膜等,统称为生物特征信息)为不可变更的唯一认证因子,服务运营商对其进行采集后并没有进行妥善的加密保存,导致用户生物特征信息泄漏,仍然会对用户安全导致严重的次生损害。

  • 扫码使用共享服务环节:

  1. 假设使用共享用车,若该二维码遭他人恶意覆盖钓鱼二维码且未被运营团队识别还原,用户扫描恶意二维码后极可能进入诱导付款的钓鱼网站,遭受钓鱼网站诈骗,从而产生金钱上的损失或是登录凭据的泄漏;

  2. 扫码同时,许多共享服务客户端必须请求用户相机、麦克风及蓝牙权限,若权限遭到某些形式的利用,在后台以一定频率拍摄照片或录音(曾有过相关移动端案例),同时服务提供商出于信息收集的目的,以一定频率调用客户设备进行周边蓝牙设备扫描,以确定其周边服务的覆盖程度。如此行为将导致用户敏感信息泄漏,同时也会加快用户设备电量消耗,影响用户设备续航。

  正如分环节所述,这些类型的安全风险若放在其他形式的互联网服务提供过程中,往往会被认为是不可思议的,但由于共享经济包含的服务类型增长速度过快,各类服务快速迭代过程中也难以产生太多安全考量的缘故,上述安全风险却确实地存在于一些“共享”服务之中,不可谓不触目惊心。考虑到使用“共享”服务的大多数普通用户不具备对类似安全问题的发现能力,能够提前、快速、彻底解决类似安全问题的服务提供商属于极少数,而当前大多数形式的手机安全软件也并未针对其中每一类风险作出有效的提前预警及拦截,故安天移动安全团队倾向于认为,“共享”服务隐藏的安全风险,及其给用户带来的安全隐患,将会在未来较长一段时间内作为用户信息安全的一大重要威胁源。

3.5 Apple iOS“信息安全铜墙铁壁”地位不保

  在智能手机操作系统出现初期,Apple iOS系统即被认为具备较强的安全性:Apple在iOS设计时便建立了一个完整的多层系统,确保其硬件和软件生态系统的同时,亦通过Sandbox(沙箱)运行机制保护iOS用户免受不必要的威胁。这使得在iOS与Android最初竞争应用市场份额时,许多开发者由于用户对iOS的“更认可”而优先开发iOS应用,甚至仅开发iOS独占应用,同时也使得用户对iOS本身及Apple后期提供的云服务抱以较大的信任。迄今为止,iOS下的iTunes Store(官方应用市场)渠道相对Android下的Play Store而言,其份额与盈利均可谓“独占鳌头”。

  但近年来,由于频发的各类0day漏洞(例如CVE-2017-13860等)、专门针对iOS的商业木马(例如Pegasus)、致命的业务逻辑设置(大批量iPhone遭到iCloud账户锁定勒索)、以及非官方供应链污染事件(XCodeGhost)先后遭到披露,并实证有大量受影响用户,iOS俨然已经从“最安全的手机操作系统”走下神坛;并且由于iOS及其运行设备(iPhone、iPad)在权限控制及安全策略设定上,较之Android等其他智能手机操作系统要严格许多,一些原本可以利用第三方应用、框架及补丁加以预防、解决的安全问题,在iOS上却只能等待官方补丁修复及第三方应用升级,用户自己无法进行任何应急处置,实际使得iOS系统面对着一个较为被动的安全局面。

  下图即是俄罗斯技术论坛上网友披露的iOS安全问题,其能够通过技术手段发现iPhone备份中存储在Keychain(安全钥匙串)中,包括4年前使用手机时的日志,而这些信息本不应该被保存。

图3-5 iOS Keychain中被国外技术论坛破解的冗余隐私记载

  鉴于国内较为敏感的行业、部门、机构等近年来提倡使用国产移动通讯设备且成效显著,Apple iOS所产生的系列安全问题,连带造成国家层面的安全影响相对会小一些;但普通移动端用户中,苹果用户占比仍然能够占据前5名(2016年数据显示iPhone在我国国内市场份额约在9%-10%),从我国国内庞大的移动用户基数来看,一旦爆发影响版本较多的安全漏洞,同样会造成极广的用户影响面,隐私泄漏等问题同样无法避免。因此,安天移动安全团队认为,尽管近段时间尚未出现影响面较广,影响性质较恶劣的iOS安全事件(0day漏洞等形式),iOS安全尚处良好状况。但不可忽视的是,iOS领域的安全漏洞、安全事件感知机制以及“感知——处置”机制相比Android平台仍然尚处初期阶段,需要进一步研究及关注。

4 转:移动安全态势走向预测

  本章节将主要介绍团队对2018年移动安全态势的展望,并对其中可能出现的新安全问题及安全热点分别进行描述及趋势判断,供您参考。

4.1 境内移动应用传播渠道安全隐患不可小视

  自进入2010年,以iOS、Android为代表的智能手机系统开始在全球范围发展并逐渐普及以来,软件生态就成为了决定某一系统/平台能否良性发展并持久存活的重要因素;而“非官方渠道传播,安全性未知的”软件安装包,则一直和PC端的恶意破解软件、仿冒捆绑应用相类似,占据了其对应平台安全威胁的较大部分来源。

  这其中,iOS设计之初即包括了由iTunes Store(苹果官方软件市场)主导的软件生态链,且禁止大部分外部应用安装(除企业应用、部分用途的测试应用外,要求较为严苛),较为有效地规避了应用传播渠道带来的安全隐患;但Android系统则较为不同,由于Google Play Store官方市场受政策及监管原因无法在国内运营,我国境内正规出售的Android移动终端大多不包含Google官方框架及其应用市场,而是选择境内各互联网公司建立的应用市场进行预装替代,以便用户下载符合国内监管要求的应用使用。上述事实实际上折射出两个较为严重的问题:

  •国内第三方应用市场仅是开发者提交传播应用的渠道平台,即便遵循国家网信办(中央网络安全和信息化领导小组办公室)《移动互联网应用程序信息服务管理规定》将开发者“实名”后,仍未能保证实名开发者上传提交的应用是安全的,而平台本身往往也不具备监管能力,或者仅具备对一般恶意应用扫描检测能力,许多编写较为精巧的仿冒应用往往能够“瞒天过海”上架正规应用市场,且越知名、越权威的应用市场出现类似问题时,受影响的用户数量级亦愈加庞大;

  •与此同时,国内应用市场碎片化十分严重,仅较为知名的应用市场都有约二十家,更遑论通过搜索引擎关键字推广的各家小型应用市场,其中又有针对智能移动终端及智能电视应用的细分,几乎处在无法胜数的数量级:这很好地折射出了任何平台应用生态碎片化一定会产生的安全状况:大应用市场下载的应用“大多数安全”,小应用市场下载的应用“很大可能存在安全隐患”,并且,国内许多小应用市场惯用的“高速下载器客户端”本身很大可能就是会给用户信息安全带来隐患的木马后门应用。

图4-1 某下载站提供,安全性未知的“百度云高速下载器”与“市场高速下载器”

  此种状况亦属于国内Android移动应用生态建设初期至今的“历史遗留问题”,迄今为止,出于各应用商店的商业利益考量,也不可能存在从外部将应用分发渠道统一,或强行减少分发渠道数量,以便于监测管理的可能(事实上,Android第三方分发渠道在境外亦存在类似问题,但因Google Play官方应用市场占据较大份额,其影响相较国内为小),较为“治标”的方法无疑是在设备上安装第三方安全软件及杀毒软件,但这又对各安全厂商的安全框架、杀毒引擎技术及云端样本库、特征库的运营提出了高标准的要求,同样无法在短期内“治本”。故安天移动安全倾向于认为,短期内,我国境内移动应用传播渠道的“历史遗留问题”仍然会给用户信息安全带来一定程度的威胁,不能够掉以轻心。

4.2 移动终端硬件及系统漏洞影响仍将不断发酵

  2017年至今,各行业运用较为普遍的操作系统软件(包括但不限于PC端Windows,Mac OS,Linux及移动端Apple iOS,Android等常见操作系统)接连爆出严重的系统内核级0day漏洞,其中Windows涉及多版本“通杀”提权漏洞,而苹果Mac OS及其移动端Apple iOS则分别有root权限漏洞及多个UNIX底层漏洞被曝光,其系统安全“神话”就此不再。同时,近日遭到Google公司Project Zero团队曝光的处理器内核Spectre(幽灵)、Meltdown(熔毁)先天架构设计缺陷漏洞,几乎影响1995年之后包括Intel,AMD,Qualcomm,ARM等绝大多数主流处理器,作为硬件底层漏洞也具备极大的影响范围与严重性。

图4-2 境外科技媒体介绍Spectre时使用了“Nearly All”的说法

  考虑到硬件底层漏洞及操作系统内核级漏洞并非任何常规防御措施,或通常的漏洞挖掘人员及手段能在短时间内提前感知、发现并处置的,结合硬件处理器技术(尤其是移动端使用的嵌入式处理器)计算能力与架构方式不断发展,而其承载的操作系统软件复杂性也日益增长,安天移动安全团队倾向于认为,2018年,与硬件底层及系统内核相关的信息安全威胁仍然会继续发酵,需要密切关注。

4.3 数据及隐私安全问题将在移动终端广泛呈现

  当前,随着移动终端类型及绝对数量的不断增多,以及“大数据时代”的移动应用所承载服务类型及数量的不断增长,移动终端所产生并接触的业务数据类型已经相当可观(例如用户行为数据、用户点击数据及用户习惯数据等)。与此同时,由于智能手机系统本身具备的功能数据及各类指纹数据较为充分(如MAC地址、手机串号、互联网IP地址等),而系统的权限控制机制常令第三方“有机可乘”,国内互联网服务提供商往往通过各种手段“或明或暗”地收集这些“可能与用户隐私高度相关”的数据,并进行各种模式、商业化或非商业化的分析、交换、出售及利用。由于移动终端用户的绝对数量本已较多且仍在大幅增长,加之移动互联网本身具备“弱边界”的特点,导致类似行为对单一用户的影响面必定较广,当前用户业务数据及其隐私数据的风险无疑处在了较高的位置,相对传统互联网而言,具备显而易见的更高风险度。

  由于我国的数据及大数据相关产业相对欧美等发达国家出现较晚,许多数据相关产业发展和数据应用以相对粗犷的方式游走于现行法律法规的边缘,部分“擦边”行为即便给用户带来了显而易见的数据及隐私风险,可依据并处罚的相关法律条文却仍然较少。因此,类似的问题不断产生,且在未来的一段时间里广泛呈现于各方面前,在当前的移动互联网产业及移动安全产业角度,是并无法完全地有效规避的。而经欧美各国实施验证,且行之有效的解决方式,即相关部门出台与数据及隐私相关的法律法规,并以之对移动互联网厂商在移动终端的行为加以有效约束,例如:

  •2012年2月美国商务部颁布的《消费者隐私权法案》,其中从个人权利、透明度、尊重背景、安全、访问与准确性、限定范围收集、说明责任这七个方面规定了消费者“应在这些方面受到保护”;

  •2016年4月欧盟通过《一般数据保护条例》(General Data Protection Regulation,GDPR),该条例不仅明确了用户个人数据受到条例保护,也在实施范围、数据许可、主体权利、数据泄露处理及“默认隐私保护”等方面做出了十分严格的规定,并规定了违法机构或公司的最高罚款额“将是其全球营业额的4%或2000万欧元”。

  针对数据及隐私安全问题,国内外状况如出一辙,美国商务部在2010年曾发布的一份报告——《互联网经济中的商业数据隐私与创新:动态政策框架》中所说:“没有强制性的自主规范是不充分的,要恢复消费者的信任,尤其是在对个人信息进行收集、利用的经营者层出不穷的现在,我们迫切需要一部隐私权法案。”

  无独有偶,在2017年,最高人民法院和最高人民检察院曾出台《关于打击倒卖公民隐私数据的办法》,对隐私泄露类犯罪行为进行专项打击指示;2017年6月,《中华人民共和国网络安全法》的正式实施,为我国互联网用户数据及隐私安全的保护开了一个好头。不过,若想完全规避并“根治”这一领域的安全问题,“立法”本身固然具备里程碑级的重要性,也需要包括国家有关部门、安全行业、互联网行业等多方面在未来较长一段时间通过某些方式进行协作,从而从各个维度对用户数据及隐私安全形成“全周期”的切实保障。

4.4 特征明确的精准APT将考验传统安全防御体系

  近年来,部分商业利益或政治因素驱动的移动终端恶意软件(往往以潜伏的APT或类APT形式被发现)更为频繁出现,其精确打击、具备战术性及攻击链逻辑的特点符合“网络战“定义,考验了传统基于“病毒特征库”启发检出机制及各方情报收集、分析及预警能力的同时,可能导致较为重要的商业秘密或较高密级的国家基础设施信息等遭到持续泄漏,且往往发现时可能已造成一定难以估量且难以补救的恶劣影响。

  例如2017年内活动较为频繁的Lazarus(可能具备朝鲜网军背景的黑客组织)、APT28(具备俄罗斯网军背景的黑客组织)、APT34(伊朗背景黑客组织)等,根据部分证据推测,上述黑客组织在2017年内都曾经或曾经试图以某些形式发动过对政治倾向对立面国家的APT或类APT攻击。

图4-4: Lazarus黑客组织近年来针对(过)的目标国家和地区一览(图片来自卡巴斯基实验室)

  鉴于源于或目的为相关敏感方向(朝鲜半岛、中东地区)的攻击事件及组织在近两到三年的活跃程度往往超过各方预期,且其部署攻击事件的手法往往具备严谨的战术思维,结合相关敏感地区的政治局势发展方向以及我国周边的地缘政治状况,安天移动安全团队倾向于认为,“网络战”式的APT攻击或类APT攻击形势将在2018年显得更为严峻

  与此同时,当前任何形式的移动终端(包括但不限于智能手机、平板电脑、嵌入式终端等)在许多行业的生产经营活动各环节得到了大范围普及应用,这些设备接触业务数据的敏感度与频次往往都较高,且部分设备存在许多常被忽视的安全问题,例如:

  •利用相关硬件模块直接通过传统网络架构接入企业内部办公网络(如通过运营商定制化APN虚拟链路实现移动接入的设备等);

  •在缺乏必要安全措施的状况下承载企业内部系统重要登陆凭据(如使用了硬件证书校验,但未通过指/声纹、令牌等形式进行双因子“实人”认证的内部办公应用等);

  •用于办公的移动终端设备存在针对性的“定制”后门(如大批量定制的嵌入式设备投放在办公场景使用,但本身硬件/软件中具备恶性且难以发现的后门模块)。

  正如上述案例所示,部分用于办公的移动终端由于安全认知、厂商技术或采购成本等方面限制,在本身硬件设备(如硬件模块安全程度)及各环节软件应用(如设备操作系统不具备相关安全防御模块,或缺乏针对外部攻击的发现及反制能力等)缺乏审计的同时,相关停留在理论及技术层面的安全标准也未能足够产生与各行业业务逻辑及其实现模块相结合的最佳实践,同时其设备基数相对传统办公计算机数量往往较大,且可控性较低,较易为企业或组织带来难以发现且影响恶劣的安全隐患。尽管在一般企业安全应用场景下,所应用的技术可能已经足够保证企业内部生产业务安全,但对较大规模的商业实体而言,其生产活动的各环节之间存在类似与移动终端相关的安全细节问题,无疑是外部攻击者,尤其是具备策划并发动APT级攻击的攻击组织十分乐意看到的。有鉴于此,安天移动安全团队倾向于认为,在将来较长的一段时间中,针对各类商业实体,如大型互联网公司、金融实体及跨国公司等高价值目标的APT攻击趋势也应引起足够重视。

4.5 移动终端安全屹立“风口”,IoT及车联网“粉墨登场”

  近一两年,移动终端上也出现了影响较广的加密勒索软件、隐私窃取及控制软件等,不仅对用户数据直接“致命”,给用户带来各种形式损失,还可能致使用户终端设备沦为僵尸网络节点,遭到攻击者的全盘控制以及丧失各方面隐私,影响极为恶劣。

  例如2017年年中开始出现的“一键生成”移动端加密勒索木马工具,又如针对IoT(物联网)设备的Mirai蠕虫变种,这二者皆在2017年内出现频繁,对较大数量用户造成影响,且影响范围极广。

  事实上,不仅传统智能移动终端(智能手机、平板电脑)用户数量从近两到三年的数据反映出保持稳固增长的态势,新兴的IoT(如智能POS机、智能穿戴设备、智能家居设备等)甚至车联网设备数量(如Tesla Autopilot,Cadillac Super Cruise等)亦在2017年内呈现了急剧增长的趋势,而相关的安全基线、安全标准以及最佳实践往往未模式化且较为缺乏的;同时由于技术应用领域较新,许多攻击手法亦未能提前被设备研发团队预判得知并适当防御,相关案例2017年亦已屡见不鲜,如外媒报道的中国安全研究员成功“黑入”特斯拉事件。

图4-5:外媒报道中国安全研究员成功“黑入”特斯拉

  结合IoT及车联网设备的发展态势及预测,安天移动安全团队倾向于认为,2018年,类似的加密勒索及深度控制利用不仅会在传统智能移动终端领域活跃,也同样会在安全防御更为薄弱的IoT及车联网领域出现甚至频发。

5 合:结语

  过去几年,我国移动网络相关产业进入了高速领跑发展期,不仅在各类通信业、互联网业及互联网服务等方面全面领先欧洲、美洲发达国家,自主品牌的手机产业也蓬勃发展,诸如华为、OPPO等品牌凭借更精细的本地化系统及高性价比占领了国内市场领先地位,同时近亿级的出货量也已跃居全球第一。

  伴随着产业、服务与相关应用的高速发展,移动威胁近些年来的快速增长也是显而易见,有目共睹的。与新千年以来的传统互联网服务具备最大不同的是,移动互联网及相关服务具备较强的弱边界及快速迭代的特性,这导致了恶意应用将会持续造成威胁,而新的威胁点及利用手段也必然会不断涌现。并不像传统互联网架构中一般,使用安全设备及安全软件即可基本“一劳永逸”,保证用户及服务提供商的安全,移动终端作为服务承载端,与用户的粘性(即设备与用户的绑定关系)前所未有的强,容易遭到安全威胁的数据种类及内容详尽程度,也是传统互联网从未面对过的。如此语境下的各色威胁,面临着安全重视度不足、外部监管尚不十分完善、安全事业各参与方“各自作战”的状况,依然常常为用户及服务提供商带来巨大的潜在安全风险与相关资产的实质性损失。

  正如本《年报》副标题所提到的“起承转合间的方兴未艾与暗流涌动”一般,用户与互联网服务所共存的每一天正犹如“起承转合”,而其间既有移动安全领域新技术的“方兴未艾”,亦有对立面上攻击技术、黑色产业链等各方面的“暗流涌动”。纵观全局,移动安全在2018年的整体态势仍然不容乐观。事实上,面对“暗流涌动”的各类移动威胁,在威胁检测,工程化对抗和基于海量数据的威胁情报“感知——处置”各环节间,安天移动安全团队已经有了比较充分的积累及相关能力储备,能够在威胁存在早期,甚至威胁出现之前形成可防御的能力;但单一团队的能力与我国庞大网络黑产和移动威胁相比,确可谓是“螳臂当车”。若想要扩大这种能力的影响范围,为国内互联网安全环境注入切实的“正能量”,确实仍需思考如何与各参与角色的进一步联动,以更好的发挥优势作用;同时仍需持续研究如何将技术与市场需求、商业规律结合,以确定技术的价值定位,保证团队及厂商的生存空间。这种能力并非是朝夕之间能够具备的,理想中的“联动”体系也并非是任意一方努力即可达成的目标。

  过去的2017年,安天移动安全团队持续致力于移动安全领域,加强对移动领域威胁的观察、感知、分析、追溯、处置、研究,并试图以体系化的方式加强与移动威胁的对抗。这份《年报》,也旨在表述团队过去一年的所见、所为及所思,并为任何需要或试图了解移动安全现状的用户提供一份令人信服的中立意见。由于移动安全威胁态势的复杂性,以及团队知识水平必然存在的限度,这份报告中的部分观点可能并不成熟;但我们会持续在移动安全领域耕耘,为更加安全的移动安全环境贡献出自己微薄的力量。安天移动安全团队将本着对关键、基础、共性、领先技术手段的持续创新,更加积极的开展产业协作,并与信息流和供应链中的所有角色一起建设更加完善的移动安全体系,以更好地将领先的安全技术转化为坚实的用户安全价值。

 更多信息详见公司官网:http://www.avlsec.com   

 转载请注明来源:http://blog.avlsec.com/?p=5150

更多技术文章,请关注安天移动安全官方微信号

安天移动安全发布恶意广告软件RottenSys深度分析报告

一、事件背景

  2018年3月14日,国外安全厂商Checkpoint发布报告,声称自2016年来近500万手机设备感染了名为RottenSys的恶意代码,并且指出包括华为、OPPO、vivo、魅族、金立等在内的国产手机设备被感染。随后国内科技媒体进行也了广泛的翻译和转载。鉴于此,安天移动安全进行了深入的分析。

二、样本基本信息

  典型样本信息如下:

  恶意行为描述:

  该程序包含风险代码,可在后台私自下载恶意插件并静默安装,进行远程控制命令以及对用户手机进行root,从而频繁推送广告并进行应用分发。消耗用户流量资费,影响用户体验。

三、详细分析

  安天移动安全分析得出,该恶意软件家族进行了明显的技术升级,进行了较强的技术对抗。攻击手段主要分两个阶段:第一阶段只是单纯的私自下载恶意广告插件,推送广告;第二阶段植入了提权功能,可加载提权代码、获取root权限、执行lua脚本,形成僵尸网络,同时还抹去了文件生成时间和进行文件拆分,以防止分析人员进行深入关联。

  攻击流程示意图如下:

  恶意代码文件结构如下图所示:

  获取root方案的地址为www.uuyttrtf.com:880 ,注册证邮箱为haitaozhou15@gmail.com,注册时间为2016年7月(这与安天移动安全捕获和查杀该样本的时间保持一致)。恶意代码上传设备信息获取root方案之后,将不断进行尝试,一旦获取root权限,则继续从该网址获取lua脚本,并且进行执行,生成僵尸网络,以及根据指令进行下一步的恶意行为。此外,我们进行了深度关联分析,得到其家族部分CC如下:

  从中我们可以看到该恶意代码的工作准备从2016年初就开始进行,到2016年9月,整个黑色产业团伙处于尝试阶段,仅进行域名注册、恶意代码植入等前期准备工作,并没有大规模的进行恶意攻击,此后开始逐步感染并形成了两次感染高峰。具体事件时间轴如下图所示。

四、安天解读

  该恶意软件家族整体生存周期较长,自2016年1月,其背后的黑产团伙便开始注册域名并准备相应的攻击活动。从数据上来看,该恶意软件家族累积感染量达到百万级别,受害面较广。不过,以安天移动安全为代表的安全厂商在病毒出现初期就已具备检测能力,并且安天移动安全已与国内主流手机厂商在移动终端病毒检测与防护方面进行合作,国内主流手机厂商均具备对该恶意软件的检测和防护能力。

  同时该恶意软件家族活跃和对抗周期较长,所谓的“感染500万”台设备并不是在短期完成的,其时间跨度接近两年,通过安天移动安全的终端监控情况来看,总体的设备感染量级达到百万级别。同时我们在手机出厂ROM和应用市场渠道中并未发现大规模感染数据,这说明主要问题出现在手机销售流通环节。

  渠道中的刷机和非法预装是智能手机行业面临的较大挑战,各大手机厂商及安全公司综合运营技术、管理、法律等手段加强对渠道的管理,并且在2017年,泰尔实验室、OEM厂商、安全厂商等联合成立移动安全联盟(MSA),以联合各方力量,加强移动终端安全,共同保护消费者权益。

  最后,我们在此希望海外相关安全机构能够更加公正、客观、严谨地描述中国移动产业的安全状况,切勿夸大事实,造成消费者恐慌。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5154

更多技术文章,请关注AVL Team官方微信号

2017我国移动端传销诈骗类威胁态势分析报告

1 背景概述

  现时一般语境下(包括本报告下文中所指)的“传销”专指我国境内认定为非法的传销行为,包括公认概念的“金字塔式销售”、“层压式推销”及部分形式的“多层次传销”,而在其他国家部分形式合法的“多层次传销”(Multilevel Marketing,MLM)在我国境内及港澳台地区合法的存在形式往往称之为“直销”而非“传销”,在概念上需要作出区分。

  自我国改革开放以来,各种形式的庞氏骗局(Ponzi Scheme)结合诸如Amway(安利)、Herballife(康宝莱)等境外合法品牌及产品的分销体系,在我国快速落地生根,并迅速派生出“传销”这一概念。

  “传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。

  国务院1998年4月发布《关于禁止传销经营活动的通知》,之后于2005年11月颁布《禁止传销条例》,正式以法律形式对传销进行了界定;2009年7月,《刑法修正案(七)》第一次将传销认定为犯罪行为;2010年5月7日,《最高人民检察院、公安部关于公安机关管辖的刑事案件立案追诉标准的规定(二)》发布,也正是在这部规定中,第一次出现了“三级”的表述方式,即“涉嫌组织、领导的传销活动人员在三十人以上且层级在三级以上的,对组织者、领导者,应予立案追诉”。2013年11月14日,最高人民法院、最高人民检察院和公安部联合发布《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》,对传销犯罪行为进一步作了规定,包括对“三级”的界定。

  近年来,随着工商、公安机关等部门履行职责进行有效严厉打击,许多组织明确、参与人数较多的传销组织相继遭到查处,客观上解救了许多深陷传销骗局的受害者;但另一方面,部分顽固对抗的传销诈骗组织也因相关法律出台而迅速转入地下活动,其活动方式、传播模式更为隐蔽,所打的幌子也更为合法化,甚至利用公检法机构定义的“三级分销合法”以乱视听,作为其犯罪活动的合法外衣,加大了发现、打击、查处的难度,多年来给各省市的公共安全及社会长治久安带来了不小的隐患。据“中国反传销协会”及其他国内自发形成的反传销组织数据汇总,直至2017年中,包括但不限于河北、河南、湖北、湖南、天津、安徽、山西、江苏、四川、福建、云南、广西及宁夏等地区仍然属于“传销重灾区”。

图1-1 2017年中国“传销‘灾区’分布图” (数据来源:“中国反传销协会”,省份与严重程度对照详见报告末尾附表,台湾数据暂缺)

  正如上图所示,尤其是进入互联网时代之后,这种“重灾区”的态势更是尤为凸显。随着互联网、电子商务、在线支付等信息技术的飞速发展,传销组织所使用的新式手段也层现迭出。诸如“专挑熟人下手”、“限制人身自由”、“对新入者上课洗脑”、“以昂贵的商品为媒介”等传统“北派”* 传销在现时报告的案例中已不占据主流,而借助互联网,以电脑(PC端)及手机、平板等移动通讯工具(移动端)上的应用程序或专题网站为载体所形成的“互联网传销”则俨然成为当前社会传销的新型模式:组织者和经营者通过互联网,以暴利为诱饵,赋予上线成员直接或者间接发展下线成员的权利,通过发展下线数量计算和给付报酬,达到非法牟利的违法犯罪目的。

  互联网传销相较传统的传销诈骗活动,在危害范围、危害程度方面都更大,但进行任何形式的打击行为也都相较而言更难:一些传销诈骗组织开始以“电子商务”、“网络团购”、“网赚”、“网络直销”、“网络营销”、“网络代理”、“网络加盟”、“虚拟币投资”等名义拉人头发展下线,攫取巨额不法利益的同时,致使大量网民受害者深陷泥潭,遭受大额甚至巨额的经济损失;更有一些团伙精心筹划“擦边球”套路,以正规直销业务备案领取国家商务部颁发的直销许可,一定程度上规避监管的同时也打消了许多参与者的疑心,但实质上则是利用《直销经营许可》从事传销诈骗活动。

2 总体威胁态势分析

  根据通过互联网获取的公开情报以及自主监测搜集的情报进行初步分析,安天移动安全情报分析团队发现,目前(2017年第四季度)仍然有大量涉及传销及相关诈骗活动的团伙以各种形式在我国互联网上活跃,其中,又以移动端应用及专题网站(包含PC端及为移动端优化过的子站点)为甚。

这些类型的应用及网站,往往通过以下几种方式进行传播:

•线上群组推广传播,如QQ群、微信群等。

此种传播方式往往自成一个闭环,如群组可能伪装为“网赚”、“创客”、“兼职”、“报单”等合法的邀请制群组,受害者往往只能通过群组已有成员邀请加入,或是通过支付一定“入群费”加入,继而通过群内推广进入其平台(App或网站等),亦有利用群组本身进行直接传销的行为(多见于微信群,见图2-2)。受害者在单一群组中可能接触到多个与传销诈骗相关的平台,容易使单一用户遭受多次诈骗损失。

•线上平台推广传播,如微博、贴吧、各类专题论坛甚至手游等。

此种传播方式往往本着“广撒网”的思路,通过传统的消息发布配合其具备吸引力的文案,进行其平台(App或网站等)推广;而推广平台也视乎其声称业务不同,可能以各类具备社交或聊天功能的平台作为推广载体。

•线下熟人间推广传播。

此种传播方式更类似于传统线下传销,与其不同的是其以互联网平台(App或网站等)为传播及诈骗业务开展载体。

•线下推广传播,如地铁公交站要求扫码,公共场合小广告贴条等。

此种传播方式一般通过扫码后的应用下载或扫码后进行人工营销达成,其模式与线下熟人推广较为类似,不过多赘述。

图2-1 某实质推广无限裂变套现工具的“网赚”QQ群状况截图

图2-2 某微信传销群组状况截图

  为了更好地了解传销诈骗类事件对于我国国内移动端用户的影响面及影响程度,基于近期安天移动安全云端安全引擎监测及全网大数据收集的结果,安全情报分析团队从其中建模筛选出了可能与传销诈骗类事件相关的移动端应用30余项,其中近几个月仍然活跃,影响用户数量较多,可能造成较大不良社会、经济影响的十余项,如下表所示。

表2-3 可能与传销诈骗类事件相关的应用列表

  基于安天移动安全云端安全引擎及大数据监测的数据结果,安全情报分析团队将可能与传销诈骗类事件相关的移动端平台(App应用及专题网站等)依据其所声称的名义业务类型进行分类;目前市面上仍然活跃,且与传销诈骗类可能具备关联的移动端平台,主要可分为以下几类:(此处分类与通常区分的类别意义不同,如“支付及理财类”应用包括利用支付工具、理财产品作为传销诈骗行为“幌子”的应用,下同)

•购物及返利类

•复利返佣游戏

•虚拟货币类

•金融互助类

•支付及理财类

•电信业务类

  针对这些可能与传销诈骗类事件相关的App应用(下称相关应用)的分类统计过程中,各类相关应用影响面占比如下图所示:

图2-4 各类相关应用近期影响面占比示意图

  上图是依据2017年9月至12月(12月数据截至中旬)相关监测数据进行的筛选统计结果。不难看出,作为传销诈骗行为承载平台的移动端应用中,影响面占比较大的的主要是支付理财类、购物及返利类以及新兴的复利返佣游戏应用,同时电信业务类、虚拟货币类、金融互助类也具备一定活跃度,但影响相对较小。

图2-5近期各类相关应用活跃走势图(按月)

  上图反映了各类相关应用在2017年9月至12月的活跃用户走势状况,不难得出以下结论:

•以购物及返利为名目的相关应用影响人数逐月走高,应与接近年底各传销组织下线业务需求增加有关;

•支付及理财作为传销诈骗组织常用的名目之一,其相关应用整体影响人数较为平稳,且各月数据来看,也都具备一定的影响面;

•新兴的复利返佣类游戏作为近年来传销诈骗组织所利用的新手法,就监测范围内的相关应用影响人数而言存在逐月下行趋势。但事实上,该类手法涉及的应用一般会构成一种“生态链”,通过平台性的设计持续地“推陈出新”,从其旧应用逐步下线到新应用纳入公众视线及监测范围则往往存在一段时间的延迟,所以不能简单地判断认为这一类相关应用活跃度降低。

图2-6 近期受相关应用影响用户数分省统计(单位:户)

  如上图所示,安天移动安全根据相关应用2017年9月至12月的活跃用户状况进行分省统计,便于对作为传销诈骗承载平台的相关应用在各省的影响状况作出直观了解。

  其中,受影响前五名的省份分别是河南省(103524户)、广东省(98502户)、广西壮族自治区(69351户)、山东省(49755户)以及福建省(48481户);同时,浙江省(42604户,东部沿海)、湖北省(37433户,中部)、云南省(37092户,西南)、黑龙江(26722户,东北)等省份的影响状况也较为可观,需要在下一阶段采取相应措施,以提高对于相关类型传销诈骗活动的发现及打击力度。

3 常见手段及典型案例分析

  以下章节,将针对每一类传销诈骗团伙所声称的名义业务类型,及其实施诈骗的具体模式,依据第2章中的分类选取其中较典型案例,对案例中可能与传销诈骗类事件相关的典型移动端平台(App应用及专题网站等)及其运营团伙进行分析,以供相关行业用户及公众充分了解,从而:

•增强用户风险防范意识,尽可能使公众对常见的互联网传销,尤其是移动端承载的传销诈骗手段具备了解,从而在遭遇类似事件时具备甄别能力,避免上当受骗;

•对传销诈骗团伙进行曝光,避免不法分子继续通过传销行为获利,造成相关诈骗的影响面、受害面进一步在社会上扩大,带来不良的社会影响及金融秩序影响。

3.1 购物及返利类

  这一类指以购物及相应返利作为传销行为“幌子”业务的应用App。其往往借助App承载其传销诈骗行为,声称用户通过App加入会员、缴费后消费,其消费额度能够得到一定比率返还;或通过现金消费送等额积分等形式,诱导消费者通过这些应用注册、消费,从而实施诈骗行为获利。

  其中,目前常见的“购物及返利类”传销诈骗相关App 主要包含以下两种常见的模式:

•收取入门费、发展下线、团队计酬的“消费返利” 借助“消费返利”名义,要求会员及加入者交纳入门费或者变相交纳入门费,靠发展下线及下线实际消费金额带来的的佣金获利。

•不收取入门费、不存在团队计酬但发展下线的“消费返利”

  通过网站购物平台发展联盟商家,注册网站的会员到联盟商家购物后,由商家交纳中介服务费至公司,公司再按照其声称的返还政策向消费者返还。为使之作为一种看似具备说服力的模式吸引受害者,部分公司甚至打出诸如“消费全额返利”的宣传口号。

  这类模式已被大量投机者演变成“投资返利”,背离“消费返利”的本质,大量假消费、真投资的行为出现,致使这种模式完全背离初衷而成为一种混乱且难以管控的“金融游戏”,且这类模式发展速度极快,影响面较广。

  事实上,“购物返利”、“返点”一类的行为在国外已成熟多年,大型电商诸如Amazon、eBay以及不胜枚举的线下大型零售商户都与相当数量的第三方返利运营商具备合作关系;但与上述两种涉及传销诈骗的模式不同,正常的返利及返点(Rewards)行为相当于企业以价格的一定比例进行返还现金促销,本质上不需要任何入门费;而国内外互联网多个销售领域成熟的推荐人制度(Affiliate),其“上线”收益也不可能与实际交易笔数或后续交易额度挂钩,往往仅以推荐新会员注册个数而论,且对用户身份合法性、唯一性以及上线行为是否异常等因素具备明确且严格的判断机制。

图3-1 境外某旅行预订网站的详细推荐人制度条款(仅截取部分)

  从上图中不难看出推荐人制度与传销活动中发展下线获利的区别,即正常运作的推荐人制度对上线推荐获利次数及下线真实身份等诸多方面均有严格限制,确保该制度在运行过程中不会因为人为因素而越界为类似“传销”的行为。

图3-2 各级政府部门多次对此类风险发布警示

  针对这种情况,多地人民政府及相关部门均持续发出对与“购物返利”、“返利”尤其是“全额返本”类模式的预警提示,对各用户群体起到警示作用;而事实上,由于这一类传销活动往往以互联网为主要载体,较为隐蔽而难以根除查处,且其口号往往对一般逐利的用户具备较大吸引力,近年仍涌现出大批遭受购物及返利类传销活动诈骗的用户及案例。

3.1.1 喵掌折扣

3.1.1.1 现象

图3-1-1-1 喵掌折扣官方网站(http://www.51mzzk.com)

  喵掌折扣是由杭州骥腾科技有限公司开发的一款应用平台。其声称自己是会员制的“移动社交电商导购平台”,且已与天猫、淘宝、京东等国内具备较大影响力的电商平台合作,能够实现加入商户的“一键分销,一件代发,全渠道推广”以及平台用户的购物返利,号称“颠覆淘宝客制度”。但以关键词在互联网进行资讯检索,发现有大量用户反映“喵掌折扣”属于具备传销特征及实质行为的平台,其“会员”体系实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线,以及下线实际消费金额带来的的佣金获利,其“导购商城”模式只是幌子。

3.1.1.2 作案方式

  喵掌折扣利用用户希望获利的心理,出于大众普遍对“三级营销”合法与否不甚了解的信息不对等,构建了三个等级的用户体系:

•第一等级的无门槛会员“省钱喵”,声称能够通过其平台实现类似淘宝客的合法返佣;

•第二等级的会员“招财喵”需要缴费100元升级,升级后可以进行推广发展下线,从中获取佣金,同时也可以从下线使用优惠券的收益中获取佣金;但这一级别的会员有提现额度限制,仅300元。

•第三等级的会员“富贵喵”声称提现额度不受限制,其他与第二等级的会员相同。

  其通过“入门费”及发展下线,促使下线在平台消费等类似制度实现上线获取佣金、并给“喵掌折扣”运作公司带来利益的目的,本质上属于传销诈骗行为。

图3-1-1-2 喵掌折扣受害用户在互联网发布的宣传文案

3.1.1.3 团伙背景

  喵掌折扣官方网站及各种宣传途径中所声称的公司名为“杭州骥腾科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于浙江省杭州市西湖区西溪新天地商业中心7幢713室,其法人姓名为王鑫明,另有一名股东名为骆小菲,公司成立于2012年1月5日,曾于2017年3月被杭州市西湖区市场监督管理局列入过经营异常名录。

图3-1-1-3 移动端App中用到的域名信息,已开启隐私保护

  通过对喵掌折扣移动端App进行交互数据包抓取分析,发现其中包含的多个域名与其官网域名51mzzk.com的Whois信息相似,都使用了阿里云注册商的隐私保护功能,无法得知其真实注册人;但其中有一个域名未开启隐私保护功能,如下图所示,其显示注册人确实为王鑫明,而公司为“杭州夺宝电子商务有限公司”,邮箱地址是691388964@qq.com,其注册时间是2016年3月30日。

图3-1-1-4 移动端App中用到的域名信息

  对“杭州夺宝电子商务有限公司”相关信息进行查询,在其变更一栏中发现,王鑫明在2016年11月8日前曾经是该公司股东,经过变更后不在名单内。

图3-1-1-5 杭州夺宝电子商务有限公司企业信息变更记载

  因为这一由王鑫明注册的,归属于“杭州夺宝电子商务有限公司”的域名目前被用于喵掌折扣的移动端App内承载相关业务,且该域名至今并未进行过户、修改信息等处理,故有理由认为“杭州夺宝电子商务有限公司”与“杭州骥腾科技有限公司”可能存在一定联系。

  同时,我们发现“杭州夺宝电子商务有限公司”最近一次的变更事宜记载了其法定代表人由原先的毛忠磊变为董俊楠,而毛忠磊至今仍然是“无锡优畅网络科技有限公司”的总经理与执行董事。通过公开情报对该公司进行查询,同样发现其可能涉及一款“优畅神讯”的网络电话传销骗局。该网络电话软件同样在互联网上遭到大量用户反映无法使用,或是反映属于传销活动。

图3-1-1-6 存在发展下线、分润行为的“优畅神讯”网络电话

图3-1-1-7 “优畅神讯”网络电话佣金提现制度

  如上图所示,“优畅神讯”这一网络电话软件中的会员分润及“低级会员提现限制”制度也与“喵掌折扣”软件相似,其宣传口径中的与三大运营商合作也与“喵掌折扣”所声称的与各大电商平台合作如出一辙。同时,部分“优畅神讯”的推广者如下图3-1-1-8中所示,涉及使用或以一款夺宝客户端作为返点平台。结合毛忠磊在“杭州夺宝电子商务有限公司”担任过职位,以及该公司法人变更的突然性存在不合理之处,根据目前所掌握的线索,我们认为,存在“杭州夺宝电子商务有限公司”、“杭州骥腾科技有限公司”与“无锡优畅网络科技有限公司”具备类似团伙作案的可能性,而王鑫明、毛忠磊、董俊楠等人则可能属于团伙作案的成员。其利用相似的网络新型传销模式,配以不同行业的业务外壳,在多地注册公司并推出相应客户端,进行实质上的传销诈骗活动以获利。

图3-1-1-8 “优畅神讯”推广者截图中的“一元夺宝”字样

3.1.2 红人装

3.1.2.1 现象

图3-1-2-1 红人装官方网站(http://www.hongrenzhuang.com)

  红人装是由深圳信人科技有限公司开发的一款应用平台,其声称自己“是一家以社交为基础、以视频为展示形式的服装购物新零售平台”,能够在各大电商的服装商品购买过程中提供返利。但同样的,互联网上亦有大量用户反映“红人装”属于具备传销特征及实质行为的平台,其中,大部分来源于公开情报的描述类似于“第一让你交钱成会员,第二让你发展下线继续牟利,第三让你骗取你亲人亲戚加入,最后还会让你再交680元店主管理年费”,也有类似于“红人装”受害者的信息反馈,如图3-1-2-2所示。

图3-1-2-2 红人装受害者家人在互联网上的信息反馈

  其“会员”体系及“代理”层级,实质上就是传统传销诈骗行为中的上下线架构,上线依靠发展下线的佣金获利,甚至过程中“坑熟”的行为一如传统传销般广泛存在;同时,其中存在当前各类微商、直销渠道中较为惯用的“价格黑箱”手段,如下图所示所谓“定制微商产品”、“私人定制产品”都属于典型的价格黑箱,为“红人装”运作公司攫取不法利益的手段之一。

图3-1-2-3 红人装运作过程中的典型“价格黑箱”

3.1.2.2 作案方式

  为尽量打消用户疑心,使用户将其传销诈骗业务与合法的“淘宝客”营销返点活动与推荐人制度联系起来,“红人装”也设立了三个会员级别。

•第一等级的“粉丝”:通过其平台免费注册,声称粉丝通过平台在各大电商平台购物即可享受40%的产品利润返佣;分享红人装个人二维码,推荐其他人加入,能够得到新加入者消费利润的20%返佣。

•第二等级的“皇冠代理”:以198元购买平台“私人订制商品”就可成为皇冠代理,声称购物可享受产品利润50%返佣;推荐的用户升级为皇冠代理并购买“私人订制商品”,上线可获得70元返佣。

•第三等级的“红人店(网红店)店主”:单用户零售累计10盒“私人订制商品”,最少拥有10个皇冠代理,每个皇冠代理最少拥有100个粉丝的情况下,缴纳680元/年店铺管理服务维护费,即可申请开启红人店。其声称“红人店店主”购买产品将得到产品利润90%的返佣;同时可以向平台3折批发私人订制商品,58元/盒,5盒起批。

  其通过“入门费”门槛,同时通过设置会员“升级”的下线数量限制,促使各层会员发展下线,为下线灌输其“销售思维”,使得其在平台消费“价格黑箱”商品为上线及公司带来不法利益的同时,也积极地发展其自己的下线,本质上属于传销诈骗行为在互联网时代的“新型变种”。

3.1.2.3 团伙背景

  红人装官方网站及各种宣传途径中所声称的公司名为“深圳市信人科技有限公司”,根据国家企业信用信息公示系统查询,该公司注册于深圳市宝安区新安街道留仙二路万源商务大厦1栋518室,其法人姓名为于一,另有股东张晓文、张井龙与一家名为“深圳市长元海兴科技发展有限公司”的公司。公司成立于2014年3月10日。

  对其法人名下其他关联的公司进行挖掘,发现其还拥有或参与以下几家目前仍处于存续状态的公司:

•深圳市久韵国际贸易有限公司(与张井龙共同参与)

•深圳市木及人本科技有限公司(与张晓文共同参与)

•深圳市留得花科技有限公司(与张晓文共同参与)

•西安红人装网络科技有限公司(与张晓文、张井龙共同参与)

•深圳市不可创意电子商务有限公司

  其中,“西安红人装网络科技有限公司”是红人装App运作过程中为了在西安开设实体店“落地”而注册的企业,注册于2017年1月,早于其实体店开设2个月;“深圳市木及人本科技有限公司”能够直接关联到的域名为http://tlgn365.com,其域名信息已开启隐私保护,但通过历史查询能够关联到 Yi Yu,即前述“深圳市信人科技有限公司”法人,而其他企业则并未挖掘到其明确的,仍存续的实体业务。

图3-1-2-4 tlgn365.com 域名历史信息

  同时,该域名在安天移动安全情报分析团队对红人装App进行数据包抓取分析的过程中,也发现其当前仍然承载着红人装App的业务,而并非与根域名首页一样,仅有自动生成的推广站,故可认为“深圳市木及人本科技有限公司”也可能与红人装相关业务具备一定联系。

  对红人装官方网站hongrenzhuang.com 进行Whois域名信息查询,可发现该域名仍然在“深圳市信人科技有限公司”名下,由阿里云提供域名服务,如下图。

图3-1-2-5 hongrenhuang.com Whois 域名信息

3.1.3 奢瑞小黑裙

3.1.3.1 现象

  相比喵掌折扣与红人装,“奢瑞小黑裙”则是一个更具备触犯“传销”相关法律风险的微商品牌。由于其自上线以来几度改变营销返润模式,类似“下线”的多级代言人推广机制也未具备有力且明确的监督方式,其声称加盟用户不在少数,覆盖城市数量也较多,一旦外部监管效果不佳,较易在发展过程中越界为传销行为,并给社会、经济秩序稳定带来一定负面影响。

  奢瑞小黑裙成立于2015年8月,声称自己只是一家只出售黑色裙子的互联网服装品牌。其采取“DC+O2O+移动互联网+小黑裙文化”的创新分销模式,让利30%给消费者,并采取分化的返利政策与一种使消费者、经营者“即是传播者,也可以是消费者”的模式进行传播推广。

3.1.3.2 作案方式

图3-1-3-1 “奢瑞小黑裙”代言人层级示意图

  其官方客服对其会员制度的介绍是,“当您购买一条399元小黑裙时,您就会成为奢瑞的代言人,拥有专属二维码,通过扫您的二维码或者关注您的店铺链接购买的是您的一级代言人,您将得到10%的奖励;通过您一级代言人购买的是您的二级代言人,您会有10%的奖励”。这一制度虽然被声称为三层营销,但根据公检法《关于办理组织领导传销活动刑事案件适用法律若干问题的意见》中相关条文规定,对于营销层级的认定应该包含“组织者、领导者本人及本层级在内”,也即应该包含“奢瑞小黑裙”公司在内,实际应该为四层营销。从这一角度看,“奢瑞小黑裙”存在与现行有关传销法规相悖的可能。

  值得一提的是,根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,即使“奢瑞小黑裙”属于合法分销的直销机制,其售卖商品“小黑裙”作为服装类商品,也并不包含在规定合法的6类直销产品中。

  同时,由于其多级分销机制涉及“入门费”、“层级推广”,且其系统较大一部分依托于微信公众平台,曾被微信方面多次要求进行分销模式调整,甚至于2017年初遭到公众平台封号处理,因此才有了第2章中提到的“奢瑞小黑裙”App平台的产生;

  其次,其大比重返佣的多级分销模式,导致每个用户从购买之初的考量即分为“商品本身的实用价值”与“发展下线,返佣牟利”两部分;而发展下线的部分,一般也都会以用户身边的关系圈作为“下线”人头的主要来源,本质上是一种“人情变现”,此类营销模式较易导致人际间信任危机产生。

3.1.3.3 团伙背景

  通过“奢瑞小黑裙”官方宣传材料及互联网公开情报检索得知,“奢瑞小黑裙”创始人为王思明,其个人背景信息在互联网上公开版本如下图:

图3-1-3-2 “奢瑞小黑裙”创始人信息互联网公开版本

  通过浏览其官网http://www.xiaoheiqun.com,我们只留意到该团体声称自己为“SOIREE奢瑞小黑裙”,而并未发现任何正式的公司及注册实体名称。通过对法人王思明名下的公司进行挖掘,我们能够得到其与“奢瑞小黑裙”相关公司的关系,如下图:

图3-1-3-3 “奢瑞小黑裙”相关公司关系示意图

  根据此图,排除为“奢瑞小黑裙”注资的投资机构之后,我们发现,其创始人与以下公司具备关联性:

•北京奢瑞电子商务有限公司

•北京奢瑞小黑裙服饰有限公司

•北京小黑裙国际文化传播有限公司

•北京金九银十投资咨询有限公司

  其中,王思明与列表中前三家公司均具备紧密职务联系,同时另一股东孙淑丽也与其在相应的三家公司占据管理职位。同时,根据奢瑞小黑裙官方网站xiaoheiqun.com的Whois域名信息,我们发现该域名归属于“北京小黑裙国际文化传播有限公司”。

图3-1-3-4 xiaoheiqun.com 域名Whois信息查询截图

  并且,根据对“北京金九银十投资咨询有限公司”的企业信息变更记录进行挖掘,发现早在2014年12月之前,该公司即由王思明、孙淑丽共同管理,其时公司名称为“北京洪科餐饮管理有限公司”,而2014年12月该公司更名后,法人身份虽然转移给吴松,但此公司至今都为王思明独资,故有理由认为,上述四家公司与王思明、孙淑丽二人均存在较大可能的紧密联系,且这四家公司在“奢瑞小黑裙”整体业务运营中也可能起到了较大的作用,其核心应为“北京小黑裙国际文化传播有限公司”。

3.2 复利返佣游戏

  近年来,市面上活跃着大量“复利拆分盘”系统类型的系统定制服务,如下图中所示,有大量的小型软件开发公司提供源码级的相关代码开发服务。

图3-2-1 互联网上活跃的大量“复利拆分盘”源码定制服务

   事实上,这一类系统从原理上而言属于传销诈骗行为的承载平台,故市场上才会有大量对此类应用系统的定制需求。其主要由复利盘系统和拆分盘系统组成:

•复利盘系统主要为用户提供基于虚拟“股权”的交易,用户固定投资一笔资金后,每天可获得持续性的收益,但用户想要获得更多收益就要成为报单中心(类似于传统传销中的“上线”概念,即发展下线),获得更多提成;

•所谓的拆分盘系统,则是在系统中通过售卖“股权”资格给首批参与投资的用户,当有更多的用户参与购买时,“股权”的价格就会上涨,等达到拆分价格或者是其倍数后,就会进行“股权”拆分,而前期的投资者就可以获得增长的收益。如果后期买入需求不足,那么前期的投入收益不会增长,也不会允许提现。

  事实上,这种被称为“复利拆分盘”的骗局即当前热议的“虚拟币”前身,其原理相似,都是首先构造出具备声称价值的“股权”、“股份”或是“某某币”,并通过外部概念热潮及相关推广营销吸引用户投入法币(人民币、美元等具备一般等价物属性的货币),从而积累可观现金池,营造出其“股权”、“股份”或是“某某币”具备实际流通价值或一般等价物属性的假象。

  但这些假象极易由各方面因素导致出现恐慌性的抛盘,继而出现整体崩盘的状况,导致参与者成为最终为骗局“兜底”,而始作俑者(即发行者、庄家)早已将其声称具备价值的“股权”、“股份”或是“某某币”卖空套现,携现金池潜逃。

  宏观看来,整个系统是否可持续,一个重要考量指标就是无论产品或服务输出“是否能够对接实体经济”,如果没有对接实体经济,整个系统无法实现现实社会中价值的输出,则系统中任何“股权”、“股份”或是“某某币”的盘面大小、热度、复利只能靠后来加入者支撑,此类行为,本质上与庞氏骗局没有区别。

  而本类所述的“复利返佣游戏”,则是“复利拆分盘”一类的骗局套上游戏外壳后的一种表现形式。其以类似复利盘、拆分盘的模式构建一款或多款游戏(且往往是热门游戏),并固定人民币与其中“游戏币”或“游戏道具”的兑换比率,建立一种与“复利拆分盘”并无二致的游戏生态,并以类似“玩游戏能赚钱”、“在游戏中理财”等为宣传口号进行推广,吸引受害者上钩;而往往用户达到一定数目,可能随时面临用户增长衰退的高风险时,游戏发行者(也即庄家)往往会携现金池潜逃,并选择在适当时机下线游戏,留下无法兑现的游戏生态与广大的受害者群体。

3.2.1 英伦系列游戏

3.2.1.1 现象

  此章节所指的“英伦系列游戏”,即是市面上诸多具备传销诈骗性质的复利返佣游戏中影响面较大,性质较为恶劣的一系列游戏集合,包括但不限于“皮皮果”、“富丽果”、“英伦斗地主”、“英伦果园”、“英伦果大厦”、“英伦果商城”等,均为一自称为“新玩客网络技术有限公司”的团伙开发。

图3-2-2 该公司在微信公众号的宣传文字

  其声称自己是与英国Pergame(帕加姆)合作的国内知名游戏公司,并打着“让用户在游戏中学习理财”、“走向财富自由”等具备诱惑性的口号,自2016年起开发若干款“英伦”系列游戏,在其中建立复利拆分盘,并在运营一年以后的2017年迅速撤盘(该团伙称之为“圆满结束”,使得数以万计的用户在游戏中“不知不觉”遭受其传销诈骗,不仅未能拿到预期的收益,本金也无法返回。

图3-2-3 “英伦”系列游戏受害者试图使用互联网公开维权

3.2.1.2 作案方式

  正如3.2章节中提到有关“复利返佣游戏”的大体描述,“英伦”系列游戏从最初以“富丽果”应用身份融合早期“农场偷菜”类游戏玩法与“复利拆分盘”的传销诈骗手法,配以对一般用户极具诱惑力的“空手赚大钱”文案,以及“上线”组成的“精英战队(实则是传销诈骗团伙核心营销团队)”进行有力推广,直到2017年初游戏改名为“皮皮果”、“英伦果”,并推出“英伦果商城”、“英伦斗地主”、“英伦果大厦”等基于“英伦果”这一虚拟“股权”或“虚拟币”的系列游戏及应用,其实质上并未有诈骗手法上的变化,均是以其运作团伙创建的虚拟“股权”或“虚拟币”(即系列游戏中的“苹果”)为载体与核心,利用一般用户对“玩游戏赚大钱”、“空手赚大钱”的期许与这一群体对“复利盘”、“拆分盘”的欠缺了解进行传销诈骗行为。

  性质恶劣的是,据互联网公开情报显示,在该团伙以“英伦游戏”行骗得手并卷款撤盘之后一段时间,又改头换面注册了新公司,并发布“梦果成真”游戏,试图创建一个新的复利拆分盘,以其一贯的“游戏中学习理财”口号引导、吸引下一批受害者上钩。

  并且,“梦果成真”游戏及其运作公司“上海梦果成真网络科技有限公司”直至2017年底仍然在我国互联网保持活跃,其恶劣的诈骗行为并未遭到任何形式的打击及查处,在我国互联网及一部分网民群体中造成了极其恶劣的影响。

  根据该团伙开发核心游戏“皮皮果”的玩法说明,注册“皮皮果”会员需要330元人民币,其中30元是“新玩客”公司管理费,而剩余300元则用作购买300个“苹果”(也即游戏中的虚拟“股权”或“虚拟币”)种到果园里。其声称,玩家每天只需要花两三分钟到果园里“施一次肥”,就可以得到1.5%左右的利息,且利息按照复利计算。但同时,为了达到传销诈骗的目的,其作出了以下规定以促进受害用户发展下线,为其通过传销诈骗行为不法获利带来了极大便利。

•推荐的新用户加入要从推荐人的“粮仓”扣除330个“苹果”,系统扣除30个,新玩家得到300个;

•推荐的新用户加入,推荐人得到16个“苹果”;

•系统每天通过报单总数与用户种植“苹果”的总数来进行产出,产出收益算法是:(当日新报单金额合计)/(所有会员果园苹果数)*(您果园的苹果数);

•苹果可以以人民币自由进行交易,出售苹果时,系统扣除10%的手续费。

  其通过“入门费”门槛,同时通过对上线获利的算法上进行规定。促使其上线会员发展下线,投资并买入“苹果”,且从结果上来看,受害者及涉及金额并不在少数,故本质上应属于传销诈骗行为在互联网时代的“新型变种”。

3.2.1.3 团伙背景

  如3.2.1.1 章节所述,该公司自称为“新玩客网络技术有限公司”,其网站域名为www.xinwanke.cn(已无法访问)与pergame.me,同时声称其与所谓的英国Pergame帕加姆游戏公司合作运营整个“英伦”游戏体系。但经国家企业信用信息公示系统查证,并无以“新玩客网络技术有限公司”为实体名称注册的任何形式公司,也即该公司无工商注册信息;其谎称的与英国Pergame公司合作运营也存在夸大、不实等问题,在其宣传渠道的页面中出现过一份《Certificate of Incorporation of A Private Limited Company》(英国私有有限公司法人证明),如下图左侧部分:

图3-2-5 两份《英国私有有限公司法人证明》对比

  但经考证,该证书照片中刻意将证书的颁发时间点进行抹除,该团伙所称的Pergame公司实际在2016年6月21日才在英国威尔士(卡迪夫)注册,晚于该团伙开始开发“英伦”系列游戏的时间节点,但早于该团伙声称与Pergame公司开始合作仅1个月(参见章节3.2.1.1中的时间表)。故我们有理由推测,该团伙所谓的“与英国公司合作”实为自导自演来打消受骗者疑心的伎俩,所提到的Pergame公司成立十分晚,在国际上也无任何知名度,可能只是该团伙在英国以一定资本(最小注册资本为8万英镑,编者按)注册的“皮包公司”。

  根据互联网公开情报搜集信息,许多“英伦”系列游戏的受害者对“英伦”系列游戏背后的主导者情况较为了解,进行了适当的披露,并且至2017年底仍然在尝试借助各种法律手段维权,如下图。

图3-2-6 “英伦”系列游戏受害者团体的“维权建议”,活跃于2017年12月27日

  因该系列游戏推广交流主要通过邀请制的微信群及App,而App及官网均已下线无法使用,微信群也为无法搜集线索的闭环存在,国家企业信息数据库中也不具备相应名称的企业实体,故可通过公开情报进行考证的信息较为缺乏。

  通过对多渠道不同受害者披露的情况进行了解、分析、判别后,安天移动安全情报分析团队认为以下线索较具可信度,可以作为一定程度上的参考:

•“英伦”系列游戏及“梦果成真”公司主导者都为刘镇源,广东揭阳人;

•刘镇源可能是“广西祥发投资集团有限公司”高管,同时曾因为相关经济案件被记入全国法院“失信被执行人”名单;

•“英伦”系列游戏的核心营销团队包括:郭贝贝(河南济源)、王涛(河南洛阳)、党建平(河南洛阳)、王海丽(河南洛阳)、时光辉(河南郑州)、叶静(河南郑州)、陈慧峰(浙江湖州)、张凯(浙江湖州)、杜玉柱(江苏苏州)、曾国莲(四川广元)等。

3.3 虚拟货币类

  当前世界范围公认的虚拟货币,往往指的是“不依靠特定货币机构发行,依据特定算法,通过大量的计算产生,发行总量具备限制,且可能去中心化并无法大量人为制造”的一种“数字货币”。自2009年第一个数字货币概念被提出以来,涌现出的虚拟货币无数,著名的包括比特币、莱特币、以太币等,虽然其不具备完全的一般等价物属性,但因为其“去中心化”、“安全”、“匿名”等声称由技术手段保证的先进属性,也在一些国家和行业被逐渐接受,并拥有与美金、人民币等法币的兑换“汇率”,甚至一度走高。

  但此处传销诈骗行为语境下的“虚拟货币”,则完全不能混为一谈。这种“虚拟货币”,更类似于章节3.2中所述复利拆分盘涉及的“股权”及相关诈骗游戏中的“虚拟道具”。之所以在这种语境下出现“虚拟货币”的概念,主要由于当前市面上可能带来暴利的各种虚拟货币遭到火热炒作,与虚拟货币相关的任意概念都较易使得普通用户失去理性,故各色传销诈骗团伙即将复利拆分盘的“旧诈骗套路”与“虚拟货币”概念进行混淆融合及高端包装,将实质上是毫无价值的“股权”及“虚拟道具”改换成虚拟货币的名头,以精心编纂的文案进行推广,吸引没有辨别能力及风险防范能力的受害用户;也与复利返佣游戏的惯用套路相似,待到现金池具备一定量后,传销诈骗团伙(即庄家)就会撤盘并卷走现金池,使得受害的投资者不仅拿不到许诺的利益,而且血本无归。

  根据安天移动安全情报分析团队总结,虚拟货币类传销诈骗一般具备以下两种特点:

•以虚拟货币作为幌子的复利拆分盘玩法简易,操作傻瓜。从互联网渠道获知的受害者“维权”信息中了解到,此类骗局受骗者中包括大量老年人。

•以“虚拟货币”、挖矿作为卖点。这种混淆概念的操作模式,钻了普通民众对于虚拟货币并不了解的空子,将团伙自己创建的复利拆分盘包装成虚拟货币,诱使更多受害者上当受骗。

3.3.1 莱汇币 (已破案)

图3-3-1 莱汇币传销诈骗受害用户微博截图

  莱汇币即是典型的,伪装为虚拟货币的“复利盘”案例。2016年8月,潜逃的犯罪嫌疑人才雄(齐齐哈尔人)被抓获,此时莱汇币这一涉及传销诈骗的“复利盘”涉案金额已经超过500万元。

  莱汇币“发行”之初,才雄通过各种手段宣传,许诺只要在他的莱汇币项目中投资一万元,此后受害人即可无限期地每日从中提现120元,不足三个月便可回本,此后每天提出的120元都是收益回报;同时,其在宣传文案中这样写道,“获取到自己的推广地址……只要有人认证了,你就可以得到1000个矿工!邀请50个人认证后你就有5万个矿工。需要坚持7个月左右,到时候就可以每天提现了”,以“发展下线带来高回报”诱使用户推荐莱特币下线加入。可事实上,才雄仅仅是将非法集资得来钱款的一部分用于支付前面投资人的利息,很大一部分则保留在现金池中,直到其2016年6月1日关闭网站,卷现金池潜逃。

3.3.2 维卡币 (部分破案)

  维卡币也是近年来“虚拟货币类”传销诈骗的一个典型案例。“维卡币”传销组织系境外向中国境内推广虚拟货币的组织,传销网站及营销模式由保加利亚人鲁娅组织建立,服务器设立在丹麦的哥本哈根境内,对外宣称是继“比特币”之后的第二代加密电子货币。

  下表中,将“维卡币”与公认的世界首个虚拟货币“比特币”进行属性对比,不难发现,其实“维卡币”并不是真实的虚拟货币,而只是传销诈骗过程中所利用的工具:

表3-3-2-1 “维卡币”与“比特币”特性对比

  其同样是利用了大众对“虚拟货币”概念的了解空白,将虚拟货币与复利拆分盘混为一谈:声称“投资36万元,半年就能变成4100万元,而且不需要任何办公条件,只要一台电脑就可以在家中坐等收钱”,要求参加者缴纳一定费用获得加入资格,并按照一定顺序组成层级,以直接或间接发展人员数量作为计酬和返利依据,将上述计酬和返利以分期支付方法进行发放,以高额返利为诱饵,引诱参加者继续发展他人参加而骗取财物。

  在线上,其由国内核心“上线”组织通过微信、贴吧等多个知名线上平台进行渠道推广的同时,也在广东、湖南、辽宁等多省进行大规模的线下“推广”。由于“维卡币”在国内一度造成较大社会、经济秩序的不良影响,且行为明显涉及传销诈骗。2017年广东省“飓风行动”及2017年中湖南长沙的相关专项打击活动中即针对相关国内团伙进行了打击,并收到一定成效(2017年9月,涉案16亿元人民币的湖南“维卡币”传销诈骗案宣判,35人获刑),但由于其核心组织成员及平台服务器均位于境外,进行彻底的打击可能具备一定难度。

图3-3-2-2 完全杜撰的“维卡币”传销诈骗境外团伙创始人介绍

3.3.3 高通币

3.3.3.1 现象

  近几个月,互联网上又出现一种声称基于“区块链技术”的虚拟货币,该传销团伙声称,“高通币”是由数字货币爱好者发起组建的Gotone Coin(高通币)团队研发并运营的一款加密数字货币,“基于全球最受瞩目的区块链技术,将最领先的科技与实体互联网应用相结合:共享CDN模式先驱带宽资源与数字资产完美结合”,但其实质一如章节3.3中所提到的,为复利拆分盘骗局的“互联网化”新变种。

3.3.3.2 作案方式

  “高通币”传销诈骗团伙设计了“高通币”的相关交易平台、体系及“挖矿”规则。其声称,通过平台注册激活“送一台价值1500元矿机”,购买一台1500元的矿机送520个“高通币”,而云端服务器会实现24小时自动挖矿。同时,其具备符合传销特质的推荐人制度:

•直接邀请一名好友加入,用户“矿机”的产能将增加8%;

•好友邀请一名他的好友,用户“矿机”产能将增加3%;

•其好友再邀请一名好友加入,用户“矿机”产能将增加1%。

  从行为上来看,其已经涉嫌违法国务院《禁止传销条例》;而从其该传销诈骗团伙对于该“虚拟货币”的规则设定行文、各类宣传文案及官方网站的编写、制作来看,也都不难发现存在十分粗糙之处,缺乏严肃性的同时也令人对其诈骗团伙伪装的有效性、诈骗行为的受害面产生怀疑,例如:

•下图所示其“后台控制面板”,用了“第1世纪全球矿石包”等显得十分随意的设定表述;

•另一截图中其平台公告,可以发现其行文十分口语化且随意; •官方网站http://cn.gtc.la 使用了通用的建站模板,并未作任何内容修改;

•交易平台http://www.gtc666.com/Home/Index/index.html 则简单伪装为某公司后台,且后台制作简陋。

图3-3-3-1 “高通币”管理后台

图3-3-3-2 行文口语化且随意的“官方公告”

  在其“管理后台”中,还存在“实名认证”机制,需要受害者提供证件照片、身份证号、银行卡号等重要信息,可能造成用户隐私直接泄露,继而导致不明确的金融风险,如下图。

图3-3-3-3 “高通币”后台实名认证涉及隐私二次泄露

3.3.3.3 团伙背景

  针对“高通币”并无明确公司实体存在的状况,安天移动安全情报分析团队从其涉及的域名基础设施入手,试图挖掘其团伙背景。

  其官方域名gtc666.com的Whois域名信息显示,其归属注册人为Huang Xu,注册E-Mail为sorry9696@163.com,如下图。

图3-3-3-4 gtc666.com Whois 域名信息

  在互联网公开情报中挖掘该域名相关信息,发现该域名是在国内某域名交易网站成功交易的“免备案域名”,即已有备案信息的合法域名过期注销后,由域名代理抢注并以“免备案即可使用”名头出售的。该域名的原备案公司即gtc666.com后台标题中伪装的“北京国泰彩信息科技有限公司”,应与该传销组织无关。

图3-3-3-5 国内某域名交易网站gtc666.com的交易记录

  通过同E-Mail地址挖掘,发现Huang Xu还注册了另一域名8gtc.com,该域名显示页面同样只是一个模板经过简单修改为“GTC网络”。

  对其后台(即交易平台)登陆界面进行代码查看,发现该团伙号称“停止注册”仅仅是在页面中使用了 将注册链接屏蔽,显得技术较为薄弱。

图3-3-3-6 “高通币”后台的停止注册屏蔽方法

  从其报错信息也可以发现,该团伙声称具备诸多功能,涉及矿机、云计算、带宽分配等多项庞大底层功能的系统只是基于ThinkPHP与虚拟主机构建的,属于彻头彻尾的骗局。

图3-3-3-7 “高通币”后台错误信息

  通过“高通币”首页下方的ICP备案号“豫ICP备14004807号”进行相关信息查询,可发现8gtc.com的备案网站名称与8gtc.com首页标题相同,而8gtc.com也为“高通币”传销诈骗团伙实际控制,备案人姓名为易晓梅(河南省),应为经过权威部门校验的真实信息,应为“高通币”传销诈骗团伙的重要成员之一。

图3-3-3-8 8gtc.com工信部备案信息

3.4 金融互助类

  这种模式与3.2中所提及的复利拆分盘具备一定相似度,实质上仍然是以“资金池”开设复利盘,但一般“金融互助”的传销诈骗组织声称,其行为是通过为他人提供资金帮助而获得回报,通过“慈善帮助”的概念,能够使获得收益的用户不断的为某一“互助”资金池投资,保证互助系统正常运转,且兑现收益后可使用利息复投或者本息一起复投。但这种行为本质上与早年的MMM金融互助组织(俄罗斯人谢尔盖·马夫罗季最先创立的传销诈骗模式)并无区别,属于明确具备传销性质的金融诈骗行为。

图3-4-1 “MMM中国金融互助”传销诈骗网站首页

  由于调查取证的不便,当前从宏观层面整治互联网金融互助的传销骗局尚存在一定难度;但也应当看到,这种毫无新意的骗局并不难以识破,受害者对于暴利收益的贪欲,也是此类骗局不断涌现、长期存在的重要因素。 据安天移动安全情报分析团队分析总结,金融互助类传销诈骗活动往往具备以下共性特点:

•以“人与人之间的帮助”为宣传核心,降低受害者戒心,同时促使受害者发展下线;

•需要花费一定金额购买“注册激活码”或“会员资格”入门;

•投资频率、投资金额与返佣直接挂钩,适用于“上线”及其“下线”;

•利率及收益率往往较高,不仅超过法律规定,更违反常理,如某国内WPP传销诈骗案中其声称月收益率高达45%。

3.4.1 人人公益 (已破案)

  人人公益是一个名义上借助慈善活动造势,但实际通过购买“爱心”“拉人头”获返利等诱骗方式组织、领导传销犯罪活动的平台。该团伙2017年3月被捣毁时,自我粉饰为“一家‘互联网+公益+奖励’的平台公司……链接衣、食、住、行、教育、购物、旅游、医疗、娱乐等各大行业”。

  “人人公益”宣扬一种消费奖励模式,消费者(称为公益天使)在平台上注册后,在注册的“公益联盟商家”消费就可以拿到返利;同时,该公司的业务员为拉客,故意露出“破绽”,诱导客户以商家和消费者的身份同时进驻。这样,不需真正消费,就可实现返利,消费多少全凭商家录入系统,在该平台上其实不存在任何真实交易,而高额返利其实就是用后加入的人的投资来返利给先加入者,实质上还是属于庞氏骗局的一种。

  同时,为了扩大传销活动的影响面,该平台还设计了多个合伙人级别,上级可以从下级提成,一层一层剥削,形成清晰的传销架构。该公司宣称每获利100元,拿出1元做公益,但在办案过程中经警方核实,所谓的公益项目全是虚构的“幌子”。其实际业务只有空对空的传销业务。

  值得注意的是,相比其他精于对内的传销诈骗组织,“人人公益”团伙不仅专门设计了官方网站、开发了App与微信公众号,还设有企划部、新媒体运营及 “段子手”等职位,以段子的方式来进行其组织宣传,以扩大影响力,便于发展会员;就案件过程中反映出来的受害者数量及涉及金额来看,此种做法确实起到一定成效。这也给一般用户及相关行业用户敲响一记警钟,即当前传销诈骗组织已不仅仅擅长于粗暴地“洗脑”、“概念灌输”,而可能结合一些巧妙的媒体运营方式来进行具备诱惑性的宣传,诱使受害者上当受骗。

3.5 支付及理财类

  支付工具及互联网理财,作为用户使用移动端设备或通过互联网直接发生的金融活动,一直以来都是各类诈骗行为、病毒木马的觊觎;而作为直接对金钱(法币)数额及稳定性产生影响的应用App,支付工具及理财App往往具备以极小的额外利润驱使用户去实施某样行为的能力,其最典型则可体现在各类“羊毛党”及“红包党”两类人群身上。

  传销诈骗语境下的支付及理财类App,正如上一段文字所述,利用的即是用户往往不具备底线的“逐利”心理,利用“推广分润”、“发展下线分润”、“购买理财产品分润”、“平台购物全返”等充满诱惑性的业务功能诱使用户加入平台,发展下线。

  借助支付及理财相关业务开展传销诈骗活动的平台,往往具备以下特点:

•推广业务过程中,进行无限层级分润(佣金返还);

•存在“大额返现”、“全额返现”等不切实际的承诺;

•往往不具备应有的第三方支付牌照,或声称拍照与企业实体不符;

•往往同时涉及非法信用卡套现等“金融毒瘤”业务。

3.5.1 信掌柜

3.5.1.1 现象

图3-5-1 “信掌柜”推广海报,其上具有“天下谷集团”字样

  “信掌柜”是一款由深圳市天下谷电子商务有限公司开发的第三方非银行支付平台。其声称具备聚合支付的主要功能,能够实现刷卡支付、清算、转账等第三方支付软件功能,并能够借助软件平台辅助客户管理维护其信用(实际反映为黑户下卡、提额、套现、贷款下款等)。

  2017年6月,国家互联网金融安全技术专家委员会曾发布《“全国互联网金融阳光计划”第三周对投资者声音的反馈》。公告表明,“信掌柜”宣传其开展第三方支付业务及相关产品,但其经营主体(深圳市天下谷电子商务有限公司)第三方支付资质存疑,该平台涉嫌无资质开展第三方支付业务;且根据长期以来“信掌柜”受害用户的反馈汇总,不仅其存在交易金额无限分润的情况,其加盟商户的各层级(大于3级)中也存在层级推广,且按照下线层数及个数进行返佣的情况,本身也存在属于传销诈骗行为的较大可能。

  同时,该公司经营过程中还涉及与持牌第三方支付公司“广州合利宝支付科技有限公司”及“北京恒信通电信服务有限公司”勾结,为其最终客户提供公用事业支付通道套现,虽不属于传销诈骗范畴,但也属于其业务开展过程中存在的问题,故此一并指出。

3.5.1.2 作案方式

  “信掌柜”在推广过程中,采取了无限层级的“合伙人(也即下线或营销层级)”,以及与之相应的无限层级“交易分润”及“下线返佣”两种模式,如下所述:

  “下线无限层级返佣”模式:

•一级合伙人发展二级合伙人,一级合伙人获利5000元;

•二级合伙人发展三级合伙人,一级合伙人获利4000元;

•以此类推往下发展的所有层层级,一级合伙人都可获利4000元。

  “交易无限层级分润”模式:

•二级合伙人刷卡费率为万分之十,以及合伙人获分润的20%;

•三级合伙人刷卡,二级合伙人获分润的20%,以此类推;

•一级合伙人能获二级合伙人所有下线刷卡万分之五的利润;

•二级合伙人能获三级合伙人所有下线刷卡万分之五的利润,以此类推。

  事实上,作为第三方支付工具而言,无论出于何种目的,设立以发展下线为目的的推广政策都存在潜在的较大风险,较易导致其失去本身作为第三方支付工具的存在意义及价值;而在推广体系中允许“无限层级”的下线,以及官方设立无限层级的“分润”、“返佣”,则更是直接从性质上点出了其有很大可能涉及传销诈骗行为。

3.5.1.3 团伙背景

  根据互联网公开情报搜集及对其官方网站http://www.xinzhanggui.net历史页面(现已无法访问)的检索及挖掘结果,安天移动安全情报分析团队发现除“深圳市天下谷电子商务有限公司”之外,还存在以下企业与“信掌柜”具备联系:

•河南信掌柜科技发展有限公司

•河南天下谷科技有限公司

•河南天下谷企业管理咨询有限公司

  其中,“深圳市天下谷电子商务有限公司”官方网站为http://www.txguu.cn,法人为张富强,公司注册地址为深圳市福田区沙头街道泰然七路车公庙工业区206栋东座3层378,公司注册时间为2013年7月29日;

  “河南信掌柜科技发展有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为雷波,公司注册地址为河南自贸试验区郑州片区(郑东)金水东路33号美盛中心1701号,公司注册时间为2016年8月2日;

  “河南天下谷科技有限公司”与“深圳市天下谷电子商务有限公司”官方网站相同,法人为梁珠山,公司注册地址为郑州市郑东新区金水东路33号美盛中心1701号,公司注册时间为2016年7月21日。

  “河南天下谷企业管理咨询有限公司”官方网站为http://www.txgpay.com,法人为范朋鸽,公司注册地址为郑州市郑东新区金水东路南、农业东路西1号楼17层1701号,公司注册时间为2015年1月29日。

  上述若干公司实体之间,雷波同时担任了“深圳天下谷”与“河南信掌柜”的高管职务;而范鹏鸽(范朋鸽)则担任了“河南信掌柜”、“河南天下谷”的管理职位,同时与“张富强”一起担任“河南天下谷企业咨询”的管理职位。

  对天下谷系列企业的官方网站域名txguu.cn进行Whois域名信息查询,结果如下图,发现txguu.cn的归属人为梁珠山,而这一域名是上述企业几乎共用的官方网站域名,应属于系列公司的核心对外门户:

图3-5-2 txguu.cn域名Whois信息查询截图

  同时,对“河南天下谷企业管理咨询有限公司”官方网站域名txgpay.com进行Whois域名信息查询,发现其归属人也为Liang Zhu Shan(梁珠山),如下图:

图3-5-3 txgpay.com 域名Whois信息查询截图

  故此,鉴于如章节3.5.1.2中所述“信掌柜”平台的运作模式,若判断其为传销诈骗行为,则其团伙核心成员必然由雷波、范鹏鸽(范朋鸽)、张富强及梁珠山四人构成(可能包含其他成员)。

3.6 电信业务类

  电信业务作为各类诈骗事件大多涉及的一项元素,在传销诈骗类犯罪活动的语境内,往往作为一项“幌子”而存在,披着电信分销或“企业电话”等运营商业务的名头,行传销诈骗之实;虽然有时传销诈骗组织也会实际为受害者提供一定的电信业务(免费拨打、免费短信等,如章节3.6.1中“芸生仙子”案例与3.1.1.3中的“优畅神讯”网络电话),但往往不具备稳定性或可用性,且本身电信类业务根据商务部,工商总局2016年第7号文《关于直销产品范围的公告》,并不包含在规定合法的6类直销产品中。

  这一类传销诈骗一般具备以下几类特点:

•声称自己资质齐全、能力雄厚,与移动电信联通紧密合作推出业务,甚至称自己是“第四大运营商”;

•对加入的受害者收取“入门费”,同时以一定返佣政策促使其发展下线;

•网站及域名数量繁多,大多未经备案;

•往往不具备正规公司实体,同样也不具备ICP经营许可证。

3.6.1 芸生仙子/国通通讯

3.6.1.1 现象

  自2015年起,一家名为“国通通讯”的企业以网络电话为名,在我国国内实际开展传销诈骗活动。

图3-6-1 国通通讯宣传单页及实体店铺

  该公司宣传称加入会员后,能够实现“长途市话免费打”,但实际受害者反馈,只几天后便无法使用,但入门“会员费”及各级会员的“升级费”同样不予退还,是典型的利用通讯软件为幌子骗取入门费及会员费的行为,属于较为明显的互联网新型“电信业务类”传销诈骗。但值得一提的是,自2015年底至今,虽然其承载业务的App“国网今来”及“芸生仙子”均已下线无法使用,且“国通通讯”传销诈骗组织在国内遭到多次专项打击,但媒体报道、相关受害者维权的消息以及线上活跃的推广组织仍然络绎不绝,显得该诈骗团伙有“屡禁不止”的态势。

图3-6-2 国通通讯线上推广渠道至今仍然活跃(QQ群截图)

3.6.1.2 作案方式

  “国通通讯”在推广过程中,结合了线上、线下渠道的推广方式,尤其针对中老年人,谎称自己为“中国第四大电信运营商”,以“国”字头公司名称骗取防范心较弱用户群体的信任,继而诱骗其缴纳“入门费”,成为其用户。

  在层级的设立上,“国通通讯”传销诈骗组织巧立名目,吸引用户分别交纳200元、1000 元、5000 元、10000元,成为相对应的文字版、语音版、视频版、商城版客户;其中语音版、视频版、商城版的客户可获得发展其他人员加入的资格。而该经营模式的返佣模式,则对一般用户具备较大吸引力:

•语音版和视频版客户端客户从其直接发展的人员交费中提取30%作为佣金;

•(最初)商城版客户端从其直接发展的人员交费中提取30%作为佣金,并仍可从其直接发展人员所发展的人员交纳费用中提取5%作为报酬。

  据2016年下旬相关受害者所反馈的信息,发展新会员加入“国通通讯”,其上线仍然可获得28%返佣,并且让新会员填写业务受理单还可再获得5%返佣。这种返佣推广高于其具体业务本身的模式,即使其设计之初目的并不是传销,也极易在多层级的推广中演化为传销诈骗行为,遑论“国通通讯”运营公司本身就是经过定性的传销诈骗组织。

  其中,可能考虑到“国通通讯”其企业实体并不具备直销资质,在开展传销诈骗活动的过程中,其也与海南一家名为“芸生(海南)健康产业有限公司”的企业建立了租借直销牌照的合作关系,同样遭到媒体屡次曝光。

图3-6-3 国通通讯租借芸生直销牌照相关报道

3.6.1.3 团伙背景

  根据互联网公开情报检索分析,安天移动安全情报分析团队发现,“国通通讯”运营公司实体的全称为“南京国通通讯科技有限公司”。通过国家企业信用信息公示系统进行查询,可发现该公司法人为张以众,公司注册地址为南京市浦口区大桥北路1号华侨银座1502室,公司成立于2013年9月3日。通过对法人张以众名下的公司进行挖掘,我们能够得到其与“国通通讯”相关公司的关系,如下图:

图3-6-4 张以众名下公司关系图(部分)

  由图及其他外部信息进一步挖掘分析可知,张以众除了具备“南京国通通讯科技有限公司”法人身份之外,还在以下公司担任高管职位(包括但不限于):

•国通通讯科技有限公司

•北京国网今来国通科技有限公司

•北京国网今来科技有限公司

•山东国通通讯设备有限公司

•江苏国通国际大酒店有限公司

•江苏国通梦想岛游乐园有限公司

•宿迁国通之声文化传媒有限公司

•海南芸生国通电子商务有限公司

  鉴于以上公司都具备“国通”关键词,与“国通通讯”这一传销诈骗平台具备高度相关可能,且上述公司至成文时(2017年12月底)仍保持良好存续、开业状态,能够得出“‘国通通讯’传销诈骗组织很大可能未被彻底捣毁,其背后控制者亦未受到应有处理”的结论。

4 总结

  根据上述对本年度国内移动端传销及组织诈骗类活动的整体威胁态势分析,以及对各传销诈骗行为的名义业务类型的典型分析结果,不难发现,尽管近年来公安机关及相关政府部门不断加大对各类传销行为,尤其是涉及互联网的新式传销诈骗行为进行打击整顿,但每年仍有大量受害用户遭受数字总和惊人的各色互联网传销骗局。与此同时,传销诈骗团伙的诈骗手段亦在不断升级,不仅将传统基于商品的传销手法照搬到了互联网上,更是融合了近年来诸如虚拟货币、手机游戏、在线兼职、“微商”等容易使一般用户产生兴趣继而毫无戒心上当受骗的领域。

  然而,即便诈骗手法在变,诈骗场景在变,万变不离其宗的是这些行为的传销本质。本报告的目的也即是如此,希望本着安天一贯的社会责任价值观,通过对当前不同类别的互联网传销诈骗行为,尤其是移动端互联网传销诈骗行为进行分类深层次剖析,使得其根本的传销行为核心能够通过相关报告章节,更完备地呈现在用户及相关行业客户面前。

  正所谓“不知其攻,焉知其防”,对于一般用户来说,只有对这些较为新型的诈骗手段具备理性及感性认识,才能够在遭遇此类诈骗事件时具备辨别能力;而对于行业客户来说,对当前可能或已经构成既成传销诈骗类犯罪案件的组织、个人及其行为表象、运作模式等各细节方面深入了解,不仅对业务上可能起到直接且可观的帮助,也有助于提高实际业务人员对于类似的、本报告中未提及或之后新兴出现的传销诈骗手段的敏感度,起到“知己知彼,料敌先机”的作用。

附录

附录1:名词解释

  庞氏骗局:Ponzi scheme,一种非法性质的层压式推销,其最著名的、成熟的代表案例发生于20世纪初的美国,而各种类似变体至今依旧存在世界各国金融市场中。其运作模式为参与者要先付一笔钱作为入会代价,而先前投资者所赚的钱是来自其他新加入的参加者(“下线”),而非公司本身透过业务所赚的钱。初期通常在短时间内获得回报以利于推行,再逐渐拉长还款时间。随着更多人加入,资金流入不足支出,当现金总量庞大时尚不足以崩溃,甚至也可以正常投资事业来持续运作,但直到骗局泡沫爆破时,最下线的大量投资者便会蒙受金钱损失。

  “传销”:我国境内一般语境下的“传销”行为往往具备庞氏骗局(Ponzi Scheme)的特征,事实上属于一种诈骗行为,具体指组织者或者经营者发展人员,通过对被发展人员以其直接或者间接发展的人员数量或者销售业绩为依据计算和给付报酬,或者要求被发展人员以交纳一定费用为条件取得加入资格。随着更多人加入,“传销”组织的资金流入必然不足以供给支出,导致其骗局泡沫破灭。这不仅给处于“下线”的大量受害投资者带来往往难以估量的金钱损失,也对维持社会道德风尚、政治经济秩序稳定带来极大负面影响。

  “北派传销”:北派传销属于非法传销活动的一种,由于最初在东北一带发源而得名。其往往打着“直销”、“网络营销”、“人际网络”等旗号,属于低端传销,上当受骗的人年龄往往较小,20岁左右的年轻人居多,毕业或者未毕业的大学生占有很大的比例。其主要特征是异地邀约,吃大锅饭、睡地铺,集中上课,以磨砺意志为假象,条件比较艰苦。有的组织有控制手机、非法拘禁等限制自由的情况;其以“三商法”、“五级三阶制”等为制度,需要缴纳一定金额的上线款;一般假冒一家公司,以卖化妆品或者保健品为名,实际上产品只是一个道具,都是一些三无产品或根本无产品,且传销组织名称比较杂乱。近年来,北派传销受南派“资本运作”高端传销影响,洗脑手段升级,传销理论向南派学习,投资金额也越来越大。

  “南派传销”:南派传销属于非法传销活动的一种,由于发源地最初在广西来宾、玉林、南宁、北海一带,且与传统“北派传销”手法及诈骗金额等多方面往往大相径庭而得名。其一般声称自己为“连锁销售”、“自愿连锁经营业”、“纯资本运作”、“商会商务运作”、“民间互助理财”等旗号,属于异地传销的升级版,参与者以三四十岁有独立经济能力的人为主,往往许多具备身份地位的受害者亦深陷其中。其运作的主要特征是以考察项目、包工程、旅游探亲为名把新人骗到外地,然后以串门拜访为由一对一洗脑,打着“西部开发”、“北部湾开发”、“中部崛起”的旗号,以“国家项目”、“国家暗中支持”为幌子,传销理论更完善,更具欺骗性与迷惑性。近年来,其由最初的“连锁销售”挂靠一家虚拟的公司卖产品为名,到“纯资本运作”打着“虚拟经济”的旗号而不讲公司和产品,使得南派传销的受害者经济损失较过去更为大。

附录2:各省份传销活动严重程度一览表

  注:本表标注情况为根据互联网信息及公开新闻资讯综合统计而成的定性数据,相关领域并无权威定性/定量数据,且本表也不能作为任何形式研究的辅助及参考,敬请留意。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5083

移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取

  伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。

  近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C域名通信具有极强的隐蔽性。安天移动安全团队联合猎豹移动安全实验室对其进行了深入分析并发布技术报告,全文如下。

一、样本信息

二、静态分析

  首先从AM文件中,可以看到该病毒申请了一系列与窃密行为相关的权限:

  此外,在AM文件中还看到其注册了各种receiver用来监听系统消息。

  深入查看一个用来接收当有电话打入时的receiver,在该类中我们并未发现一些实际功能代码。在onReceiver函数中,其直接将Context和Intent转交给了一个native方法n_onReceive,然而尴尬的是在这个类中,我们并没有看到有loadLibrary的so文件,而这其实利用的是Mono框架实现的。

  在dex文件中其他的几个类也都存在类似的情况:

  MainActivity也是如此:

  从以上静态分析中,可以了解到该病毒dex文件中基本没有实质性的代码,这里的原因主要来源于MonoDroid框架允许开发者在.Net平台使用C#进行开发,而这意味着我们基本不可能在dex文件中有所得。

三、恶意行为分析

  该病毒的核心恶意模块为google.tools.dll文件,通过对该文件进行反编译后获得该病毒的核心恶意行为。该病毒的整体攻击流程如下图所示:

Step1:自我隐藏并初始化Telegram Bot

  当用户安装应用后,该病毒首先通过MainActivity的onResume()方法,弹出虚假提示框告知用户该程序无法运行并自动卸载,卸载完成后自动隐藏图标,为后续的恶意行为不被发现做好铺垫。而这也是当前常见的恶意代码自我隐藏的主要方式。 隐藏完毕后,该病毒启动下述服务,首先进行了语言识别,针对非英文语言环境会默认显示波斯语。

  mainservice中包含部分组件设置、绑定以及Telegram Bot API(后文简称TBA)模块的初始化相关的行为:

  值得一提的是,该病毒设置了定时器对相关核心恶意服务是否存活进行监控,如果挂掉了,就重启之。

  此外,该病毒还另外注册了两个Telegram的消息回调函数。在这里再次暴露了其通过利用知名应用Telegram提供的框架实现某些重要功能的意图:

Step2:远程控制设备

  在此之前我们也曾发现过一些使用TBA进行通信的样本,本次发掘的样本基本采用纯TBA进行通信,该病毒的远控的行为设计的十分完备,关键操作(文件增删、关键服务的启闭、关机重启被控端、卸载自身等)都需要主控端二次确认操作,分发起操作和确定操作两步。在文件管理功能方面基本上做到了PC端的远控的水平,集合了文件预览、上传、下载、移动、重命名等诸多功能。对于被控端的短信,来电等内容,在主控端可以做到“消息实时推送“级别的接收响应,另外这些功能都可以通过主控端随时进行开闭操作。同时主控端可以控制被控端设备的关机、重启(该功能需要被控端是已经被root的设备,该病毒自身不拥有提权功能),主控端可以随时发起被控端卸载该病毒、实时开启摄像头拍照、实时屏幕截图(需root)、获取实时地理位置信息。

  总的来说这款病毒在软控功能上设计的十分完善,主控端和被控端的可以进行灵活的交互,这点大大区别于其他普通的Android病毒,这在一定程度上得益于TBA提供的各种完善的网络传输方法。

  android.os.CTRLCB类的CTRLMESS()方法中包含了所有控制指令,整理如下。基本上所有上述指令中具体相关功能都在android.os.DoWork中有所实现。

Step3:Root模块检测

  由于远控行为中包括的远程开机、重启、屏幕截图等功能的实现需要设备的Root权限,因此在相关功能执行前,该病毒会先进行Root模块的检测,确认设备是否已经Root。如果已Root,则通过申请Root权限进行相关恶意行为的实施:

Step4:设置定时操作

  该病毒还特别创建了定时操作线程,按照规定的时间间隔进行恶意行为的执行,定时操作分别为:每小时执行对所窃取的隐私信息存放的缓存空间的释放工作;每五秒执行一次,检查采集地理位置的Service是否还在工作:

  而上述定时执行的线程还负责对获取到的隐私信息的定时上传:

Step5:监控亮屏行为激活守护主恶意服务

  亮屏动作的捕获主要是为了实现对主恶意服务mainservice的存活守护,结合上述的定时执行线程以及定时服务探活和激活的逻辑,都足以看出该病毒开发者对保护自我服务的“用心”:

Step6:其他隐私信息窃取

  (1)窃取手机图片

  通过onStartComand方法,启动一个服务去定时获取手机存储中的所有图片类型的文件:

  该病毒专门对此服务设置了定时器去进行“服务守护”,如果服务挂掉,重启之。

  **(2)监听短信模块 **

  从+98编码可以看出,该病毒的活动范围为某中东地区。此外,该病毒还会监听短信发送行为:

  **(3)窃取通话录音记录 **

  **(4)利用相机拍照 **

  **(5)获取通讯录 **

  **(6)窃取来电记录 **

  监视网络变化,上传通话记录,守护恶意服务:

  **(7)获取地理位置 **

四、事件分析

  从我们捕获到的样本上来看,该病毒基本上都是伪造的工具类应用,包名google.tools、System.OS也非常普遍,我们很难从这些地方发掘出可能的攻击对象和目标群体属性。 但是根据在应用中出现的波斯语设置以及在短信监听中出现的+98国际区号的线索,我们推测出,该病毒的活跃地区应该是某中东国家。此外,在分析的过程中我们发现了一个疑似主控端Telegram的账号主页:https://telegram.me/Qhack。该主页账号指向的是Telegram的某位用户账号“Qhack”。我们在Telegram上搜索这个用户,结果如下:

  从第二张图片中,我们可以发现这个账号在1小时前还在线,但是个人信息中并没有什么内容,因此推测这可能只是一个用来作为主控端的僵尸账号。 通过样本关联,我们在这批样本的其中一个签名下关联到一种不同的样本,但是都是使用MonoDroid框架编写,类名、方法名命名极为相似,都有伪装卸载后台隐藏图标启动恶意服务的行为,但是编写较为粗糙,虽然也进行了部分隐私信息的窃取,但并未如前面所分析的使用Telegram进行通信,而只是简单的使用http的方式进行通信,通信的IP为148.251.203.5、148.251.32.113,其中一个样本名为“电报技巧”(Telegram的译名就叫“电报”),同样也是活跃在波斯语的使用地区,推测这类样本可能是早期的产物。

  一代样本:

  二代样本:

  从技术手法上来看,使用C#开发Android应用不多见,推测攻击者可能是精于Windows开发的技术人员,当然也不排除是故意为了混淆视听或是规避杀软检测而为之。从代码结构上来看,其模块划分比较明确,组织结构安排的也较为合理,同时其通信过程完全使用TBA,与TBA配合的远控行为逻辑和功能设计也颇有特色,从这些角度看来该攻击组织具备相当不错的技术水平。

五、总结

  该病毒采用C#编写,通过将逻辑代码编译在dll文件中而不是常规的dex文件中来规避常规的恶意代码检测机制。此外,该病毒使用了知名应用Telegram的Bot进行通信,进一步增强了其隐蔽性。这说明恶意开发者有一定的反查杀意识和能力。在此基础上,该病毒建立起了一套完整的远程控制体系,涵盖了各种远程控制恶意行为,包括对各种设备硬件信息采集、文件管理(文件和文件夹预览、移动、删除、重命名、上传、下载)、短信实时监控、通话记录实时监控,以及截屏、通话录音、图片、账户、和地理位置实时获取、远控摄像头拍照等等,极大程度上侵犯了用户的个人隐私信息安全,具有非常强的危害性。

  对此,安天移动安全联合猎豹移动安全实验室已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动反病毒引擎的安全产品,定期进行病毒检测,保护个人信息安全。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5020

更多技术文章,请关注AVL Team官方微信号

安天移动安全:Janus高危漏洞深度分析

一、背景介绍

  近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但如果恶意攻击者用另一把私钥对APK签了名,并将这个修改过的APK对用户手机里的已有应用升级时,就会出现签名不一致的情况。因此,在正常情况下,Android的签名机制起到了防篡改的作用。

  但如果恶意攻击者利用Janus漏洞,那么恶意攻击者就可以任意地修改一个APK中的代码(包括系统的内置应用),同时却不需要对APK进行重新签名。换句话说,用这种方式修改过的APK,Android系统会认为它的签名和官方的签名是一致的,但在这个APK运行时,执行的却是恶意攻击者的代码。恶意攻击者利用这个修改过的APK,就可以用来覆盖安装原官方应用(包括系统的内置应用)。由此可见,该漏洞危害极大,而且影响的不仅是手机,而是所有使用Android操作系统的设备。

  目前,Google将该漏洞危险等级定义为高,其影响Android 5.1.1至8.0的所有版本。基于多年以来针对移动端漏洞的技术积累和安全对抗,安天移动安全对Janus高危漏洞进行了紧急分析,并发布技术报告,全文如下。

二、漏洞原理

  ART虚拟机在加载并执行一个文件时,会首先判断这个文件的类型。如果这个文件是一个Dex文件,则按Dex的格式加载执行,如果是一个APK文件,则先抽取APK中的dex文件,然后再执行。而判断的依据是通过文件的头部魔术字(Magic Code)来判断。如果文件的头部魔术字是“dex”则判定该文件为Dex文件,如果文件头部的魔术字是“PK”则判定该文件为Apk文件。

  另一方面,Android在安装一个APK时会对APK进行签名验证,但却直接默认该APK就是一个ZIP文件(并不检查文件头部的魔术字),而ZIP格式的文件一般都是从尾部先读取,因此只要ZIP文件尾部的数据结构没有被破坏,并且在读取过程中只要没有碰到非正常的数据,那么整个读取就不会有任何问题。

  总而言之,Android在加载执行代码时,只认文件头,而安装验证签名时只认文件尾。

  因此只要构造一个APK,从其头部看是一个Dex文件,从其尾部看,是一个APK文件,就可以实施攻击。很容易想到,将原APK中的classes.dex抽取出来,改造或替换成攻击者想要执行的dex,并将这个dex和原APK文件拼起来,合成一个文件,就可以利用Janus漏洞。

  当然仅仅简单地将恶意dex放在头部,原apk放在尾部合起来的文件还是不能直接用来攻击。需要稍作修正。对于头部dex,需要修改DexHeader中的file_size,将其调整为合并后文件的大小。另外需要修改尾部Zip,修正[end of central directory record]中[central directory]的偏移和[central directory]中各[local file header]的偏移。

  当然,Janus漏洞是针对APK文件的攻击,因此v1签名无法抵御这类攻击,而v2签名可以抵御。

三、漏洞利用

图1 攻击文件拼接原理

  具体的漏洞利用分为3步:

    1.从设备上取出目标应用的APK文件,并构造用于攻击的DEX文件;
    2.将攻击DEX文件与原APK文件简单拼接为一个新的文件;
    3.修复这个合并后的新文件的ZIP格式部分和DEX格式部分,修复原理如图1所示,需要修复文件格式中的关键偏移值和数据长度值。

  最后,将修复后的文件,重命名为APK文件,覆盖安装设备上的原应用即可。

四、漏洞修复

1.Google官方修复方案

  对文件system/core/libziparchive/zip_archive.cc打上如下patch

2.修复原理

  打开ZIP格式文件时,多做了一项校验,也就是检测文件的头部是不是以‘PK’标示打头。如果是,则进行正常的逻辑,否则认为该文件不是一个合法的ZIP格式文件。

五、总结

  Android平台上的应用签名机制是Android安全的基石。Android平台的permission机制完全依赖于应用的签名,签名机制一旦突破,所有基于Android permission构建的安全体系将崩溃。而Janus漏洞已经不是Android平台的第一例签名机制漏洞了,之前由“Bluebox”发现的Master Key漏洞和“安卓安全小分队”(安天移动安全上海团队前身)发现的第二个Master Key漏洞都是利用签名机制的漏洞,其原理是利用Android的代码中对APK验证不充分的缺陷,使得应用在安装时验证的是原dex,但执行的是另一个dex,从而达到瞒天过海、偷梁换柱的目的。

  Janus漏洞的利用在原理上也类似,它将恶意dex和原apk拼接在一起,安装验证时验证的是原apk的dex,而执行时却是执行恶意dex。修复这类漏洞的原理也很简单,就是加强安装时的验证,避免不合法应被安装到系统中。针对Janus漏洞,只需简单验证一下apk文件的头部是不是‘PK’即可。如果不是,则该apk 文件一定不是一个正常的apk文件。

  Janus漏洞再一次提示我们,即使像Google这样的跨国科技企业也难免在签名验证这么关键的环节上多次产生漏洞,特别是Janus漏洞从2014年就已经存在,潜伏长达3年之久,并且从Android 5.1-8.0版本都存在这个漏洞。这说明了安全问题有时是极其隐蔽的,暂时未发现安全问题,不代表安全问题不存在;更说明了安全是动态的而不是静止的。因此安全防护是一个工程化体系化的持久战,很难通过单次或短期投入就将安全问题一次性解决,在安全方面只有持续而坚定地投入,一旦发现风险或者漏洞就要以最快的速度及时修复,只有这样才能保证系统安全而稳定地运行,最大程度地规避风险和损失。

附录:技术参考

  要理解Janus高危漏洞的原理,首先需要掌握一些基础知识:ZIP文件结构、DEX文件结构和Android APK签名机制。

1. DEX文件结构

图2 dex文件格式

  Dex文件有很多部分组成(如图2),其中Dex Header最为重要,因为Dex的其他组成部分,都需要通过这个Dex Header中的索引才能找到。 Dex Header内部结构如下:

图3 dex header 结构

  在Dex Header中(如图3),file_size规定了整个dex文件的总大小。因此,如果想在Dex文件中隐藏一些额外的数据的话,最简单地,就可以将这些数据追加到Dex文件末尾,然后再将file_size调大到合适的值即可。

2. ZIP文件结构

  ZIP文件可以通过获得文件尾部的End of central directory record(EOCD record)获取central directory,遍历central directory中的每项记录得到的file data即为压缩文件的数据。

表1 ZIP文件结构

  如表1,读取ZIP文件时,会现从最后一个记录区end of central directory record中读取central directory的偏移,然后遍历central directory中的每一项,获取每个文件的 local file header,最后通过 local file header 获取每个文件的内容。 End of central directory record结构体如下:

表2 End of central directory record结构

  该结构(如表2)中的offset of start of central directory with respect to the starting disk number,指向了central directory的位置。 Central directory结构体如下:

表3 Central directory结构

  该结构(如表3)中的relative offset of local header,指向了每个文件的Local File Header的位置。

  因此,如需在ZIP文件中隐藏一些数据,可将这些数据简单添加到头部,然后修改End of central directory record中central directory的偏移。同时修改每个central directory中的Local File Header的偏移即可。

3.Android APK签名机制

  Android APK签名机制分为两个版本:v1和v2版本。

  两个版本的签名区别在于,前者是对APK中的每个文件进行签名,如果APK中某个文件被篡改了,那么签名验证将会通不过;后者则是对整个APK文件进行签名,只要APK文件的内容发生变化则签名失效。

  很显然,v2版本要比v1更加严格,安全性会高很多。 但遗憾的是,Android从7.0开始才引入v2签名。之前的所有Android系统只能验证v1签名的app,即使这个app也用V2签名了。 以下是两个版本的签名对比:

表4 v1 v2签名对比

  对于android 7.0以上,系统在校验签名是会先检查是否存在V2签名方案,若存在,则通过V2签名方案对APK进行校验,否则使用V1签名方案对APK进行校验。

图4 Android v2签名流程

  对于android 7.0以下的系统,不支持V2签名方案,所以APK在签名时最好将两种签名方案都支持。

企业简介

  武汉安天信息技术有限责任公司成立于2010年,是专注于移动互联网安全技术与安全产品研发的高科技企业。公司在上海、成都和美国硅谷设有技术研发分支机构,是全球顶级移动安全方案提供商。   

  2014年,公司自主研发的移动反病毒引擎产品,以全年最高平均检出率荣获AV-TEST全球“移动设备最佳防护”奖,成为首获此项国际大奖的亚洲安全厂商,实现了中国安全厂商在全球顶级安全测评领域重量级奖项零的突破。   

  2015年,在国际知名安全软件测评机构AV-C的年度移动安全产品测评中,公司的AVL移动反病毒引擎产品凭借全年100%的病毒检测率,成为2015年排名第一的安全产品。   

  公司凭借突出的技术研发能力、数据捕获能力和应急响应能力,长期为国家互联网应急中心、泰尔终端实验室等国家监管部门提供强有力的移动互联网安全支撑,目前已成为国内移动安全响应体系的重要企业节点;并与国内外主流芯片厂商、移动终端厂商、移动应用厂商建立了长期战略合作关系,为全球超过10亿终端用户保驾护航。   

  更多信息详见公司官网:http://www.avlsec.com   

  转载请注明来源:http://blog.avlsec.com/?p=5014

更多技术文章,请关注AVL Team官方微信号