Author Archives: Gandalf

短信拦截马黑产揭露

概述

从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被攻击者收不到短信,并将短信内容截取到攻击者手机上。

此类木马目前最常见的是通过钓鱼、诱骗、欺诈等方式诱导用户装上木马,然后通过拦截转发用户短信内容,以此获取各种用户重要的个人隐私信息,如用户姓名、身份证号码、银行卡账户、支付密码及各种登录账号和密码等,造成这些信息的泄露,再利用此信息从而达到窃取用户资金的目的,严重威胁用户的财产安全。

另外,此前流行的”XX神器”也有短信拦截转发的功能。

数据统计

短信拦截马功能简单、开发成本低,但更新变化速度快,伪装目标不断更换,涉及样本量比较庞大。从最早13年5月出现到14年9月,共截获该类木马将近2万个。

活跃曲线

从13年5月起,AVL移动安全中心每月都能监控到该类木马,从其活跃曲线可以看到其呈现不断增长的趋势:

7

图1 拦截马样本捕获情况

行为分布

短信拦截马其行为主要是拦截并转发短信来窃取隐私,此外部分还带有诱骗欺诈、远程控制、资费消耗、恶意扣费等。从下图拦截马主要行为分布可以发现诱骗欺诈、远程控制、资费消耗都占有不小的比例:

4.1

图2 拦截马主要行为分布

样本包名Top 20

下图为样本包名Top 20,从中可以发现最多的是伪装成Android系统应用名,其次则是example、test等测试名称:

5

图3 拦截马伪装包名Top 20

伪装应用Top 10

样本伪装应用Top 10,不出意外的中国移动最多,下图中其实还有移动客户端、10086、移动掌上营业厅、掌上营业厅、移动营业厅都属于伪装的移动应用,其次则是伪装的淘宝”淘分享”:

3

图4 拦截马伪装应用Top 10

对抗情况

拦截马家族发展迅速,持续的演变过程中便不得不与安全软件查杀对抗,除了常规恶意代码手段,拦截马家族更喜欢采用加壳这种简单有效的手段。频繁更换修改加壳方式,高频率持续更新以保证绕过安全软件,拦截马对抗颇有09年PC上的免杀趋势。

下图为拦截马家族加壳样本捕获情况,从图中可见从拦截马最早出现的时候就已经开始有使用加壳技术了,不过直到2014年6月才开始持续增长,而现在正是高速爆发时期:

2

图5 拦截马加壳样本捕获情况

下图为拦截马加壳样本与当月样本数的统计情况,拦截马的捕获数量依然在持续增长,而加壳样本比例亦在增加:

1

图6拦截马加壳样本统计

对拦截马加壳样本所采用的加壳方案做了一下统计,其中大部分都在使用apkprotect这一加固方案,而其他方案则少许多:

6.2

图7 拦截马加壳类型统计

加固是一把双刃剑,保护开发者APP的同时也成为木马作者的一把”保护伞”,希望诸多加固公司能在加固应用前多做恶意代码审核工作。

黑产揭露

拦截马黑色产业链

拦截马的爆发必然有其原因,根据AVL团队研究人员多方采证以及卧底取证,最终还原了其完整的黑色产业链:

钓鱼

图8 拦截马攻击模型

从伪基站发送伪造钓鱼网站地址,再到用户访问钓鱼网站,欺骗用户输入个人信息,网站挂马诱导用户下载安装短信拦截木马,最后攻击者在线转账时通过拦截马转发网银验证码完成转账,这就是一个简单的拦截马工具模型。

拦截码黑色产业链(终稿)

图9 拦截马黑色产业链

拦截马黑色产业链分工明确结构简单,主要由以下四部分组成:
1.开发售卖:这部分主要是拦截马木马的开发以及免杀、钓鱼网站的开发出售、伪基站的出售;
2.木马分发:广撒网才能多收鱼,拦截马分发手段主要有钓鱼短信、网站挂马、二维码传播;
3.窃取售卖:拦截马植入成功即可获取拦截短信,但黑产关注的信息主要在于各大银行、支付宝、游戏点卡、运营商话费充值卡、Q币等等,这些信息都是可以直接交易;
4.洗钱:洗钱也是技术活,生意好的日入上万不是梦,虽然洗钱是获利最多的,但同时也是风险也最大。

文章最后附有研究人员潜伏拦截马交易群所收集到的部分相关聊天证据记录截图。

相关产业

百度搜索拦截马就有118万个结果,其中有产业链揭露、样本破解分析,但更多则是交易信息:

105

图10 百度”短信拦截马”百万以上词条

木马开发

下图为猪八戒网的开发需求,可见拦截马开发及免杀依然持续中的;不过拦截马功能比较简单,开发成本较低,即便免杀也通常使用已有加固方案,所以图中给的报酬都比较低:

106

图11 猪八戒网拦截马开发需求

伪基站

伪基站是近几年开始流行的,黑产中通常用于发送伪造短信诱导用户进入钓鱼网站,如下图即是一个伪造的工行短信,值得注意的是其使用了gov.cn域名下的子页,相对加强了权威性而降低了用户警惕:

108

图12 伪基站钓鱼网站短信

另外伪基站还有如下诈骗的使用方式,通过伪造短信来恐吓用户来进行诈骗行为,不久前”小龙女”李若彤经纪人造电信诈骗百万以上,手法就与此类似:

098

图13 伪基站诈骗短信

钓鱼网站

拦截马样本中最爱伪装中国移动,所以同时也发现了大量的山寨中国移动钓鱼网站,此类网站通常以积分兑换现金来诱骗用户输入相关银行帐号信息,同时诱导用户下载安装短信拦截木马:

109

图14 山寨中国移动钓鱼网站

下图即是一个山寨中国电信钓鱼网站,采取同样的手法获取用户个人信息并诱导安装短信拦截木马,该木马还会欺骗用户不要卸载:
110

图15 山寨中国电信钓鱼网站

011

图16 木马欺骗用户不要卸载

洗钱

利益所趋,正是拦截马火爆的主要原因。下图为某黑产人员曝光的拦截马洗钱记录,可谓日入上万不是梦:

097

图17 拦截马洗钱记录

总结

随着时间的推移,移动通信技术的发展,智能手机的出现,移动支付也渐渐占据主流。但由于手机支付安全问题日益突出,加上Android应用开发的简单,以及伪基站的出现,加固方案的发展,再结合流行已久的钓鱼网站,短信拦截马作为一个功能简单开发成本低,但获利颇高的黑色行业,不可避免的在短时间内便形成了其完整的产业链。

短信拦截马家族此刻正处在高速爆发时期,无论数量还是质量都有着明显的提高,尤其大量加壳对抗样本的出现,给安全公司分析人员造成了极大的困扰。在此希望诸多加固公司在对应用加固的时候,能多做一些恶意代码审核工作,避免与安全公司陷入加壳脱壳无穷尽的内耗中,而使恶意代码渔翁得利。

拦截马家族变化速度快,对抗强度高,传播渠道广,欺骗性强,极易造成用户重大经济损失以及隐私泄露。随着拦截马家族的爆发,同时更会不断产生着大量的伪基站诈骗短信以及钓鱼网站,希望用户能保持良好的安全上网习惯,以及对钓鱼欺诈的警觉,可以极大避免此类威胁。同时用户可以下载并使用AVL Pro对该类木马进行检测和查杀。

参考

【1】警惕手机钓鱼网站植入木马,http://blog.avlyun.com/713.html

【2】警惕手机钓鱼网站植入木马—电信篇,http://blog.avlyun.com/1283.html

【3】探秘短信马产业链-从逆向到爆菊,http://drops.wooyun.org/tips/789

【4】11月最新灰色项目,短信拦截马,支付宝银行卡有多少洗多少!

http://www.80lou.com/thread-425719-1-1.html

附-拦截马交易群部分聊天记录

从聊天记录可以大致还原拦截马完整的黑产链,从木马开发、免杀、伪基站、钓鱼网站、拦截料交易、洗钱,无一不有:

083

084

085

086

087

088

Xposed恶意插件

Post by 南山

安天移动安全团队最近发现了一个使用Xposed恶意插件来实现隐藏和伪装自己的恶意样本,并通过HOOK Activity相关的系统API,来获取重要Activity上的用户输入,如支付宝、手机银行、QQ等登录界面的账号和密码。

Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。(需root权限)

一、隐藏自己。

HOOK–android.app.ApplicationPackageManager->getInstalledApplications

HOOK–android.app.ApplicationPackageManager->queryIntentActivities

HOOK–android.app.ActivityManager->getRunningServices

HOOK–android.app.ActivityManager->getRunningAppProcesses

在上述api调用完成后,即afterHookedMethod中,将过滤下列相关信息。

  1. 应用本身的信息”com.android.os.backup”;
  2. 提权应用的信息”eu.chainfire.supersu”、”com.koushikdutta.superuser”、”com.qihoo.permroot”;
  3. xposed框架应用”de.robv.android.xposed.installer”;

如getInstalledApplications被hook后的处理方法:

二、伪装成系统应用。

HOOK–getPackagesForUid

在通过getPackagesForUid获取指定id的包名时,hook该api方法后,将”com.android.os.back”替换成”android”,伪装成系统应用。

三、干涉应用权限的检查。

HOOK–android.app.ApplicationPackageManager->checkPermission

HOOK–android.app.ContextImpl->checkPermission

hook了两处权限检查,只要是qihao360的权限检查,则一律拦截,而对该应用本身的权限检查,则全部放行。

四、获取Activity中EditText输入的内容。

HOOK–android.widget.TextView->setInputType

HOOK–android.app.Activity->onPause

hook住setInputType方法后,将触发这个操作的类名保存下来。

HOOK住Activity->onPause方法后,在确认有EditText输入操作发生后,将会获取该Activity所属于的包名、标题等信息,在进一步的操作中会继续获取EditText中的输入内容和Hint内容,然后保存到数据库,等待上传。

通过这种方式,可以获取如支付宝、手机银行、QQ等重要应用中的账户信息。

该样本利用Xposed恶意插件实现隐藏、伪装,并窃取重要Activity的输入信息,达到了以低成本低开发难度来实现更多高难度的技术及行为。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之色情网站挂马

Post by saya

样本来源

AVL移动安全团队近期发现一个挂马网站http://hao.*****.com/video/,该网站利用情色作为宣传卖点,诱导用户点击下载恶意apk.

恶意性描述

该木马运行时会检测杀软环境,联网上传用户已安装程序列表、手机固件等信息,获取配置,执行私发短信、删除回执短信并自动回复的操作。此外,还会联网推送其他应用,给用户带来经济损失、资费消耗

样本分析

该木马将服务器地址加密存放在assets目录下的billing_request.ini文件中。此外还会检测已安装应用中是否包含LBE、腾讯手机管家、360等杀软,如果存在,则不进行后面的联网操作。相关数据同样做了加密处理。。

图 1billing_request.ini文件解密

图 2检测应用列表中是否有安装以上杀软

联网解析返回值,执行私发付费短信的操作。动态注册短彩信监听器,删除指定短信息,并自动回执

图 3联网解析返回值,更新服务器地址、获取短信列表

图 4解析获取屏蔽、回执列表

总结

该样本利用色情网站挂马诱导传播,能偷发短信、窃取用户隐私信息,造成用户隐私泄露以及经济损失,更会刻意躲避绕过杀软。建议用户养成良好的上网习惯,AVLPro可对其进行有效查杀。。

    安装时扫描结果:

    详细信息:

xxshenqi木马分析报告

Post by drov

    七夕佳节,良辰美景,世人忙碌于恩恩爱爱之际,却爆发了一个蝗虫般的木马xxshenqi。在媒体渲染之下,此木马已是人尽皆知谈毒色变,因此AVL移动团队对此木马进行了详细分析。

样本概述:

样本情况如下:

木马的恶意性描述:

    该木马以”XX神器”作为伪装,诱骗用户安装并点击运行。运行后,后台向用户所有联系人发送”看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”短信,进行恶意传播;在界面上弹出对话框欺骗用户点击安装其恶意子包——com.android.Trogoogle;并伪装界面骗取用户进行注册——以获取用户手机号、姓名和身份证号等隐私信息;恶意子包安装后,宿主木马会直接启动恶意子包,恶意子包一旦被启动,即直接隐藏图标并后台开启服务;通过后台服务,恶意子包监听并拦截短信,并将短信通过短信和email方式发送给恶意代码作者,泄漏用户隐私。同时,恶意代码作者可以通过发送短信指令操纵木马伪造短信、删除短信、发送短信等。

图1 伪装界面,安装子包并骗取用户隐私信息

样本分析

动态分析:

    安装并运行”XX神器”,从后台监控可以看到运行即向通讯录群发短信——

“看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”

    同时,通知恶意代码作者,短信已经群发。

点击安装,则会安装恶意子包,恶意子包安装成功后即启动,并后台向恶意代码作者发送短信,告知木马已经安装成功。

    界面上接着出现”XX神器”登录界面,由于用户无帐号密码,则需要点击注册,注册中需要用户输入帐号密码以及姓名和身份证号。

    用户输入身份证号、姓名后,即后台向恶意代码作者发送短信告知其用户的姓名和身份证号。泄漏用户隐私。

而恶意代码子包一直保持后台运行,监听用户短信,执行一系列窃取隐私的恶意行为。

主包代码分析:

    主包结构其实很简单,其中关键代码在于获取联系人信息,并将联系人作为前缀发送传播短信。

    获取联系人信息:

    将联系人作为前缀发送传播短信:

恶意子包代码分析:

    对恶意子包——com.android.TrogoogleV1.0.apk进行分析,其代码结构十分简单,包含恶意包结构com/example/com/android/trogoogle以及发送邮件用的开源SDK——com/sun/mail。

    后台服务——ListenMessageService启动后,开始读取所有联系人信息、收发短信箱信息,同时向恶意代码作者汇报处理情况。当查询到恶意代码作者发送过来的短信时,根据短信指令执行相应操作——插入伪造短信、删除短信等。

    查询收信箱时,判断是否为恶意代码作者发送的短信,是,则根据短信内容执行相应命令操作。命令包括:伪造短信、发送link命令、启动email发送等。之后,将非恶意代码作者发送的短信全部以短信形式发送给恶意代码作者。同时,还可以通过email将用户所有的短信信息发送至恶意代码作者的邮箱。

    恶意子包还在后台注册了监听短信的BroadcastRecvMessage用于监听、拦截短信。当发现为恶意代码作者指令短信时,拦截该短信并执行相应的命令。当监听到非指令类短信时,判断是否跟”淘宝”相关,如果相关则转发这条短信并重点提示恶意代码作者为重要信息,若相关则进行简单的转发。

总结

    样本原理非常简单,技术含量很低,但之所以能快速且大面积地传播,完全利用了广大用户安全意识薄弱的弱点,通过通信录联系人来做前缀来获取信任,降低了用户的安全意识。用户可以使用AVL Pro对此木马进行查杀。

    虽然最后如闹剧般的收场,作者被抓,只是一个大一学生的恶作剧。而此次事件也不由联想到当年的熊猫烧香,不过恶作需慎重,炫耀技术的同时也应该注意是否触犯了法律,该学生以及熊猫烧香作者被抓既是前车之鉴。

    而这种几乎看起来很容易被识别和戳破的事情,却硬生生的在一个体系中传播了开来,这也给国内移动安全行业敲响了警钟。

病毒播报之流氓勒索

Post by Partrick

AVL移动团队近期发现了一种能混淆本地通讯录号码、铃声静音、拦截所有来电的具有敲诈和勒索的一款app,同时当该程序被最小化或者进程结束的时候还会无限启动自己,给用户正常体验造成一定的影响。

程序启动界面:

 

以上提示信息大致内容如下:

下载并安装此应用后,您的手机因违反俄罗斯民法而被封锁。如需解锁手机,您必须在48小时以内支付1000卢比,否则您手机的所有数据将被永久销毁。

请按照以下方式完成支付:1 请到银行支付终端通过VISA支付。2 输入79660625015,点确认后继续输入您的账号和密码。3 完成支付后您的手机将在N天内被解锁。

程序运行后文本框要输入正确的指令,否则输入错误就会触发混淆本地号码,拦截所有电话,以及静音操作。

混淆的手机联系人号码如下:

该程序伪装成游戏软件能够拦截所有来电,当用户在文本框输入”123″的时候则不拦截所有来电,否则拦截。

当用户输入123的时候,本软件即将失效,没有任何功能,并且无法打开。

 该样本使用另类的手法进行敲诈勒索,使用户无法正常拨打电话和接收电话,对用户常用的功能造成一定的影响,用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

警惕手机钓鱼网站植入木马—电信篇

Post by saya

AVL移动安全团队在先前的《警惕手机钓鱼网站植入木马》一文中曾披露了一类伪装成移动掌上营业厅的钓鱼wap站点,用来诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用,以便进一步攻击的行为。

而近期我们再次捕捉到一个手机钓鱼站点”www.**189.com”,其伪装成电信掌上营业厅,诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用。

运行Android客户端应用,会诱导用户激活设备管理器,并伪造来自1000的积分兑换短信,利用社会工程学使其不敢轻易卸载,并隐藏图标,于后台屏蔽短信、上传至指定服务器

与此同时,还捕获到另外一个域名为”www.**-10000.com”形式的电信掌上营业厅钓鱼网站:

用户可以下载安装AVL Pro对该类木马进行检测和查杀。。

另类指令获取—Androidpn推送

Post by saya

AVL移动团队近期发现了一种使用Androidpn推送指令的远控间谍软件,该程序伪装成系统应用、诱导用户激活设备管理器,根据推送获取的指令来进行上传通话记录、通话录音、环境录音、联系人、短信箱、地理位置等隐私信息,并能执行修改短信箱内容、私发短信、拦截短信、屏蔽来电等操作,窃取用户隐私、影响手机的正常体验。

android push notification原理(源自Androidpn界面截图):

向用户手机客户端push消息(源自Androidpn界面截图):

登录xmpp服务器,获取消息指令(源自Androidpn界面截图):

远控模块流程:

491

006

此外,该应用能接收指令,私自修改替换短信箱中的内容。。

该样本使用少见的Androidpn推送方式来获取指令,相对更为隐蔽,加上多种窃取隐私信息,尤其修改短信箱内容功能更为罕见。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

更独特隐蔽的隐私窃取—web服务器

Post by 南山

AVL移动安全团队最近发现一种利用轻量级web服务器jetty来窃取用户隐私的方式,在浏览器中访问特定的url,即可获取用户隐私信息。

工作方式:

在目标手机上设置jetty服务器后,通过浏览器等请求特定的URL,可获取目标手机上的资源,包括隐私信息等。

架构如下:

获取用户隐私信息对应的url路径:

007

该木马通过将目标手机变成服务器后,通过url请求获取手机上的任意资源,造成用户隐私泄露,这种方式更为独特而隐蔽。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之远程锁屏与擦除

post by fish_yu

AVL移动团队最近发现了一种会远程控制的间谍软件,该间谍程序安装无图标,不仅可以通过远程短信指令控制擦除手机数据,锁屏,设置飞行模式,还会获取用户地理位置信息及通话记录,短信记录等,窃取用户隐私,危害个人信息安全。

锁屏界面如下所示。

短信指令列表及含义:

info

回复SIM卡信息和当前位置

find

持续播放铃声,按停止后终止

force

一直播放铃声,不可终止

position

上传当前地理位置

gps

获取GPS精确位置,若GPS未开启,则获取网络定位位置

history

获取通话和短信记录

lock

远程锁定设备和设置解锁密码

airplane

远控开启飞行模式(用于获取SIM卡的PIN码)

wipe

擦除手机所有个人数据:短信/彩信,联系人,SD卡和通话记录

弹出锁屏界面

飞行模式

擦除设备信息。

该木马通过短信指令控制不仅可以远程控制手机还能获取用户个人隐私,危害较大。用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之短信自动传播

post by fish_yu 

近日我司破获一例恶意盗取通讯录私发推广链接的病毒。该病毒会悄悄获取手机通讯录信息,并向前20名联系人发送一个推广链接,若点击链接并安装,会立即感染。该病毒传播范围呈金字塔递增趋势迅速扩大!

以下是动态捕获的短信触发情况,其中可以看到该木马会遍历联系人并向其发送推广链接:http://goo.gl/f62y65

该木马会获取联系人信息并存入变量users中,然后获取前20名联系人,并向其发送短信,包含推广链接,进行恶意推广。若接收短信联网下载感染继续向手机联系人发送短信,呈金字塔递增趋势,传播范围极大。

该木马通过联系人传播可以实现爆发式的递增,传播范围极广,影响极大。用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!