Monthly Archives: 四月 2016

针对移动银行和金融支付的持续黑产行动披露——DarkMobileBank跟踪分析报告

 目录

分享和披露申明

引言

鸣谢

第一章

背景说明和早期披露信息

OSINT整理和聚合分析

1.1威胁整体概述和威胁攻击链

1.2黑产行动战术和技术分析

1.3攻击活跃行为和受害者分布分析(2016年第一季度数据为主)

第二章

2.1攻击者画像和溯源分析

2.2攻击者基础设施分析

2.3受害者画像(包含详细资产受损评估)分析

总结和趋势

尾声

关于安天和安天AVL Team

附录

参考

 正文

分享和披露申明

图1-1

图2-2

图3-3

引言

        安天AVL移动安全团队(以下简称AVL Team)是安天旗下专注于移动安全和移动威胁对抗的安全企业。从2010年至今,我们经历了一个完整的移动安全发展和威胁对抗的时代,也在此过程中经历了持续的技术对抗博弈。有幸的是在这个过程中,我们承接安天在PC反恶意代码上的浓厚基因和基础,并在总部支持下不断努力,目前已经成为世界范围内具有顶级基础能力的移动安全团队之一,以及全球最大的移动反病毒引擎技术和服务供应商。

        本报告所披露的针对移动金融和移动支付系统的持续性地下产业攻击和威胁,是从2013年5月至今,历经近3年时间,通过AVL Team持续的跟进和分析所形成的聚合性情报。早在2013年5月,我们已开始关注到这种在技术上非常简单粗暴的攻击形态。同时,我们也看到了这种攻击和威胁形态是如何从2013年开始持续至今,逐步完善地下产业链条的各个环节,催生出不同的分工和地下交易环节,最终发展成为拥有数万非法从业人员、有明确协作的链条模式,以及成熟的地下产业化的持续威胁行动。2013年12月16日,乌云平台的网友“国土无双”首次对恶意代码样本进行公开披露(事实上,相关样本的分析报告在2013年11月19日就被公开披露过,但鉴于乌云上的披露中具有相对明确的攻击动机、侵害资产目的及相关产业链条情况的描述,故以此报告的披露时间为首次披露时间)。2014年10月份,经过1年时间的持续跟进后,AVL Team首次公开披露了完整的地下产业链条,并对整个威胁行动环节进行了深度分析,同时,在2015年陆续对新型的攻击手法和特点也进行了进一步的跟进和公开披露。

        2015年,为了更好的达成威胁对抗使命,实现将我们顶级的检测能力,对抗能力和情报防御能力转化为用户侧能力,团队在原有的移动恶意代码对抗和工程化体系的基础之上进行了整体架构和对抗能力的升级,初步完成了面向威胁情报和持续性对抗与防御的能力升级。而这种可持续规模化的威胁情报工程化能力,也给我们带来了更为全面的威胁战略态势感知,以及威胁行动战术剖析和威胁对抗反制支撑能力。在这样的背景之下,我们希望以威胁情报的视角和手法,通过本报告,与大家分享在过去的3年时间里我们所看到的这一长期盘踞在地下的产业攻击行动的细节。同时,也会在文档中的相关环节中直接引用已出现的最优秀的分享文章,在此感谢同行和相关安全友商的共同努力。

鸣谢

        本材料从2016年1月开始筹备,在材料组织过程中获得了高校、安全行业和金融行业同行的支持。

        感谢复旦大学杨珉老师及其安全团队,共同参与准备,协助部分技术和分析材料,并对材料整体表达提供修订建议。

        感谢交通银行信息技术管理部、招商银行信息科技部、上海浦东发展银行信息科技部,对本材料的初期版本提供的发布建议,并和我们共同探讨有效的安全治理措施。

第一章

背景说明和早期披露信息

        在移动互联网极速发展的背景下,从2012年开始至今,移动支付基本完成了从用户习惯培养到全面渗透的过程。目前,已有大量金融和支付交易的相关环节逐渐在移动终端侧成为用户主要的需求和关键业务场景。我们在通过移动银行享受便捷的银行业务的同时,也催生了大量相关的移动支付交易业务和环节。

        根据CNNIC在2016年1月发布的《中国互联网络发展状况统计报告》【1】中的数据显示,截至2015 年 12 月,网上支付用户规模达4.16亿,增长率为36.8% 。其中手机网上支付用户规模达3.58亿,增长率为64.5%。网络支付企业大力拓展线上线下渠道,运用对商户和消费者双向补贴的营销策略推动线下商户开通移动支付服务,丰富线下支付场景。

        根据央行发布的《2015年第一季度支付体系运行总体情况》【2】中的数据显示,电子支付业务保持较快增长,移动支付业务涨幅明显。仅2015年第一季度,移动支付业务达13.76亿笔,金额39.78万亿元,同比分别增长108.85%和921.49%。

        我们可以看到,涉及移动金融和相关交易支付的系统主要分为下面几种(如图所示)。无论是金融类(如银行、证券)还是泛金融类都提供了用于手机终端的APP应用或是移动终端的相关业务来进行在线支付和交易。

        我们总结了当前移动支付业务场景的主要分类,如下图所示:

图4-4

        在众多的移动支付业务场景下,央行于2012年发布的《网上银行系统信息安全通用规范》【3】中制定了针对移动支付场景下的合规性规范,并且各大银行也采取了安全性防护手段来避免移动支付下的安全风险,例如:

        ● 使用代码混淆和应用加固服务防止移动应用被恶意篡改;

        ● 使用安全通信保障支付过程中的敏感数据不会被泄露或篡改;

        ● 使用安全键盘避免密码输入时被恶意截获;

        此外,银行为了增强对移动支付中的身份认证,引入了手机短信动态密码的双因素认证方式,以下内容为摘自某银行个人电子银行交易相关的安全要素说明【4】

图5-5

        从上述的安全要素来看,银行的移动支付业务需要验证的信息主要有密码(交易密码、查询密码、登录密码)、卡号、短信密码、手机号码等等(需要注意的是,一旦使用密码,银行则视交易为本人所为)。

        在除了银行以外的泛金融行业,例如支付钱包或者电商、购物等都支持移动支付业务,并且其移动应用大多数都提供了银行卡的绑定服务,在在线交易过程中会同时验证用户账户和手机动态密码信息,以此确保交易的安全性。

        为了保障用户在移动支付过程中的安全性,移动银行采取了大量安全措施。在支付过程中进行身份认证和主要基于手机动态密码的双因素认证,通过安全通信防止移动支付过程中发生支付相关信息的泄露。

        从在线支付发展到依赖于用户手机进行基于短信动态密码的双因素认证开始,针对用户的在线金融资产的安全威胁就从PC平台转移到了移动平台。从2010年开始至今,AVL Team所做的一些重要的安全研究已对此做了一些简单的梳理。

        从2011年开始出现的Zbot家族和Spitmo家族是最早的从PC攻击场景转移到移动攻击场景下的恶意代码家族。

        ● Zbot恶意代码,劫持用户接收的银行动态口令短信,并窃取到远程服务器。

        ● Spitmo,伪装成Token程序,并窃取银行的验证短信到远程服务器。

        2012年末,SmsZombie家族开始在国内活跃,其主要的攻击目标为用户收到的银行类、支付类短信,例如包含有“银行”、“支付宝”、“验证码”等,在后续变种中衍生出了以国内十多家银行为目标的攻击行为,其会在后台监听银行应用启动,并弹出精心伪装的银行应用登陆界面,诱使用户输入账户和密码信息。

        2013年早期,随着淘宝、支付宝使用的盛行,也出现了针对淘宝、支付宝账号的攻击,其以伪装成淘宝或者伪装成支付宝应用登录界面的攻击方式来窃取用户的淘宝、支付宝账户信息,例如Faketaobao家族。

        2013年中期,Googlessms家族开始活跃,其以韩国各家银行为主要攻击目标,并采用了一种比较新的攻击方式,即诱导用户卸载正常的银行应用,从而替换为仿冒的恶意银行应用。

        2013年末,一类专门窃取用户手机隐私数据的威胁开始兴起,其主要窃取用户短信内容、用户手机通讯录,以及地理位置信息、电话录音等。其核心功能基本都以短信拦截或隐私截获和泄露为主,而短信拦截是其非常标志性的恶意行为,因此大多昵称为“短信拦截木马”威胁,其中代表家族是emial家族(早期在该恶意代码家族的相关核心代码和C2服务器中均出现该关键词,不知是攻击者有意还是无意为之,其都接近email,故命名为emial家族),该家族下涉及不同的恶意代码变种数百个,同类威胁的恶意代码家族还有数十个,在此我们不一一列举。

        从2014年起,AVL Team就持续地曝光了相关的攻击威胁。通过持续跟踪和分析,我们发现从2013年开始,历经1年时间,围绕短信拦截马的攻击行为开始催生出较为完善的地下产业链,并陆续“吸引”了更多人的加入,从而得到发展壮大。

        下图为AVL Team发布的攻击银行类威胁分析报告列表(2014-2016):

图6-6

        2015年,国外安全厂商开始大量披露针对欧美银行的攻击案例,如SlemBunk、GM Bot、Marcher等等,其主要攻击方式也是监听银行应用,弹出钓鱼登陆界面,窃取银行账户信息,同时窃取用户收到的短信内容,与2013年和2014年早期在我国出现的情况如出一辙。

        攻击者通过多年积累和构造的攻击模式已经持续渗透到方方面面,对攻击者来说,广大的潜在受害者和已经被拦截马控制的受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,已然如同一家攻击者拥有的私有银行一般,正因此,我们对整个黑产和威胁用代号名称DarkMobileBank来命名。

OSINT整理和聚合分析

        2013年,AVL Team就已开始了针对恶意代码家族的持续分析和密切关注;2014年,AVL Team首次公开地、系统性地披露了威胁的整体情况和地下产业链的信息;2015年,出现了更多来自于安全厂商和研究者所做了优质分析和相关分享。巧合的是,2015年安天移动安全年报【5】、卡巴斯基【6】和Mcafee【7】等国际安全厂商的2015年的移动安全年报中,均出现了对移动银行和支付交易系统相关的重要威胁趋势预警和披露。2016年,更是密集地出现了世界范围的大量针对移动银行,金融支付交易的新的威胁报告。

        在2016年第一季度,我们发现这类恶意代码的整体攻击活跃频度环比增长超过300%,并开始持续进行大面积的攻击投放,社会危害感知度急剧提升,逐渐引起大量企业、安全厂商以及个人的高度关注。

        我们整理了从2013年至今对移动银行和金融支付交易类攻击威胁的OSINT(地区:中国),并按时间进行了梳理(截止到2016年4月10号),同时对其中有相关性的OSINT进行了一定的聚合标定。国内披露相关OSINT总共41篇:其中2012年1篇、2013年7篇、2014年13篇、2015年12篇、2016年8篇。我们按照报告中所披露的关键内容进行了分类(其中省去了安天分享的部分):

图7-7

图8-8

图:国内移动银行和金融支付交易类攻击威胁的OSINT列表

(上图OSINT列表文章链接见附录1:国内OSINT列表)

1.1威胁整体概述和威胁攻击链

        为了更好的对整体威胁攻击行为的完整要素和信息进行呈现,AVL Team分析人员按照攻击链的环节,对攻击的各个环节进行了整理和呈现,通过对不同的攻击环节的重要元素和信息进行标识,快速地描述整个攻击行动的重要环节和方式。

图9-9

        说明:目前对攻击链的描述方法中以适用于APT和Cyber场景的Kill Chain最为著名,由于威胁场景的不同,我们在移动威胁场景下进行了一定程度的精简和改进。其中最关键的攻击场景是攻击者利用远控手段持续侵害受害者,窃取隐私并获利,故将其合并为C2-Obj阶段。

1.1.1总体威胁图示

图10-10

1.1.2攻击链清单

        攻击链各个阶段和环节的主要战术和技术手法清单:

(1) 攻击准备(Reconnaissance)

        攻击者在发起攻击之前,通常需要进行前期的准备工作。包括各种物料的准备、加入相关的交流群获得最新的经验和分享信息等等。

        由于本报告所披露的攻击者群体形成了非常成熟的分工体系和内部交易体系,因此通常新加入的攻击者会先加入网上寻求积极的交流,以获得相关的经验。在部分情况下,会有“师父“的角色来帮助新加入的攻击者熟悉相关攻击过程。

        同时,伴随攻击者整体的不断发展和成熟,攻击者对不同地区、不同银行或支付交易体系的攻击有效性,对不同人群等均形成了很丰富的“积累经验”。

(2) 攻击武器化(Weaponize)

        攻击者会精心制作木马程序、钓鱼网站,并注册大量的域名、邮箱、手机号码用于攻击使用。在此环节,还伴随了大量的内部交易和各种倒卖的环节(由于恶意代码本身的机理较为简单,同时目前恶意代码高度流通化和标准化,也导致了基于恶意代码本身的溯源难度急剧增加)。

        ● 三大运营商用户中,攻击者更加偏爱伪装为移动运营商,其中68%的伪装运营商钓鱼短信都是伪装的10086号码。

        ● 银行用户中,攻击者更加偏爱招商银行和建设银行的用户,其中接近60%的钓鱼网站都是伪装成招商银行和建设银行的官网。

(3) 攻击投放(Delivery)

        攻击者主要使用伪基站,伪装成例如10086,95555,95533等号码发送欺诈的钓鱼短信或含有恶意代码链接的欺诈短信,短信内容中包含类似官方网址的URL或者短URL链接诱骗用户点击,并跳转到伪装的钓鱼网站。

(4) 攻击实施(Attack)

        攻击者会伪装成正常的应用名称或图标,诱导用户安装木马程序到手机。从威胁Incidents中受害用户感染的“短信拦截木马”类恶意代码统计来看:

        ● 70%的威胁攻击都是伪装成手机联系人、朋友发来的相册、资料、相片、聚会相册等名称。

        ● 15%的威胁攻击伪装成来自三大运营商,诸如中国移动端、掌上营业厅等名称。

        ● 伪装成银行客户端的占到8%。

        ● 其他还有伪装为车管所,学校等等。

图11-11

(5) 持续侵害(c2obj)

        在移动威胁的场景中,我们发现有大量的C2控制行为和对受害者目标的进一步侵害行为的聚合度非常高,通常持续侵害行为都是高频度地和C2的控制行为集合在一起的。因此我们对这个环节的攻击进行了整合标记。在本文的短信拦截木马的攻击当中,通常会具备基于短信(由远程手机号码控制)、邮箱回传、网络控制和回传等综合的“多通道”控制能力。同时,对受害者的侵害行为,通常伴随着较高实时度的远程控制行为(例如,实时转发在线交易的动态验证码)。

        ● 部分木马程序会接收短信指令或者网络指令,并控制具体的攻击行为。

        ● 通常木马程序会隐藏自身图标或者提示用户激活设备管理器的行为来避免被卸载。

        ● 用户的隐私数据被窃取,并进行地下贩卖和交易。

        ● 受害者的选择并不是盲目的,大多伴随了对用户身份,账号和资产信息的综合分析与判断。

1.1.3受害者关键资产与影响

        在本文所披露的威胁行动中,有多个重度用户隐私或财产相关的资产都在受影响的范围内。

● 资产类型:通讯录

        为了更好的实施针对性的欺诈,并扩大攻击范围,木马通常都会对通讯论进行遍历回传。

        影响:隐私泄露,攻击者二次利用

        影响量化:过去3年,预计累计超过1亿以上电话号码信息泄露

● 资产类型:环境录音或通话录音

        在早期,木马会进行环境录音或通话录音的回传,在中后期则并未普遍出现。

        影响:隐私泄露,攻击者二次利用

● 资产类型:短信-历史短信箱

        为了完成对受害者用户的精准定性和筛选,木马通常会对历史短信进行整体回传。由于在历史短信中包含有大量的重度个人隐私信息,以及重要的银行,支付交易的通知信息留存。因此历史短信箱成为高价值的攻击目标资产之一。

        历史短信箱中通常还包含的资产类型有:

        银行和银行账号信息、银行末4位尾号、银行流水信息、支付交易行为信息、企业银行账号信息、企业实名信息、第三方支付账号和其它业务账号身份信息等。

        影响:隐私泄露,金融标识信息泄露,攻击者二次利用

        影响量化:过去3年,预计累计超过2亿条以上包含用户隐私的短信信息泄露

● 资产类型:短信-实时拦截短信

        为了实现对受害者财产进一步的侵害,木马通常会具备定向实时短信拦截和转发能力,通过关键字识别特定的实时短信,对包含动态验证码,密码的短信进行中转,绕过基于短信验证码的双因素验证。

        影响:验证绕过(登录,转账,密码重置等)

        影响量化:过去3年,预计有接近100万规模的用户存在潜在遭受验证绕过的危险

● 资产类型:姓名,证件号码,银行卡号,密码,CVV码,手机号码

        在部分情况下,攻击者会通过钓鱼网站,或银行应用界面拦截等手段对用户进行欺诈和钓鱼,获得姓名,证件号码,银行卡号,密码,CVV码,手机号码等信息。

        影响:身份信息泄露,银行账户信息泄露

        影响量化:过去3个月,预计有数十万用户的信息被泄露

● 资产类型:资金,第三方账号余额/积分

        攻击者的最终目的是实现对受害者的资金或相关高价值资产的窃取。

        影响:财产损失或信誉损失

        影响量化:过去3个月,预计有接近数十亿的资金处于被窃取风险下

1.2黑产行动战术和技术分析

1.2.1拦截型木马

        在正常的在线支付交易和金融操作过程中,当用户通过手机发起一次移动支付或账号的相关操作时,银行或第三方支付交易为了对用户进行身份认证,引入了短信动态验证码这种双因素认证的安全策略。用户在终端上接收动态验证码通知,输入银行发出的动态验证码,当验证通过时,即完成交易。

图12-12

图:正常支付和交易过程

        当受害用户手机感染拦截型恶意代码后,恶意程序会将受害用户手机中的所有历史短信、手机联系人姓名、电话号码、上传到攻击者的远控邮箱中。

        攻击者会筛选攻击目标,然后伪装受害用户发起支付交易过程,这时银行收到支付交易请求,会发送短信验证码到受害用户手机,恶意程序劫持该短信,并转发到攻击者手机号码上,这样,攻击者即获得用于用户身份认证的双因素信息。

        详细过程见下图:

图13-13

图:被木马攻击和控制后的交易过程

        短信拦截木马威胁从2013年开始爆发并持续发酵。如下图所示: 短信拦截木马类威胁事件数量在2015年仍呈现明显增长,且在2016年开始呈现高速爆发的趋势。

图14-14

1.2.2钓鱼伪装和仿冒技术

        为了提高欺诈和钓鱼的成功率,成功诱骗用户,从而达到攻击的目的,攻击者采用了大量的各类伪装和仿冒技术,根据载体的不同形态,有APP钓鱼仿冒、短信钓鱼仿冒和网站钓鱼仿冒。

● APP类钓鱼和仿冒

        攻击者主要伪装成农业银行、建设银行、招商银行、交通银行、工商银行等银行名称或图标,其中还有一部分木马程序会直接伪装成银联安全证书或者银行控件的应用名称,下表罗列了主要伪装应用的名称及图标:

图15-15

        除了伪装成银行相关的应用名称以外,还会伪装成银行应用的图标Logo,如招商银行、交通银行、浦发银行、中国银行等。

● 短信类伪装

        短信通常是银行、金融、第三方支付和交易系统和用户进行信息通告的重要场景,因此也成为攻击者重点欺诈和攻击渗透的环节。短信的伪装通常包含多个环节,例如:短信的来源号码,短信中包含的称呼内容,短信中的文字语义内容和短信中所包含的URL。

        通过AVL Team的分析,可以看到,伪装成中国移动的钓鱼短信明显高于伪装成其他服务供应商的,伪装成工行、建行、招行、交行的钓鱼短信明显高于其他银行的,攻击者采用更加精确的投放策略和更加收敛的攻击目标来减小攻击的成本和提高攻击的有效性。攻击者会根据选择攻击的受害者画像来针对性挑选攻击战术和技术,以下总结了主要的几种伪装攻击模式和目标受害者:

图16-16

图:2015年短信拦截马攻击模式概览

        除了典型的针对特定用户群体的安全威胁之外,攻击者还可以通过掌握的通讯录等隐私信息,进一步升级攻击威胁,将具有群体针对性的威胁升级为个体威胁,从而提高威胁的准确性和侵略性。在这些隐私信息的指引下,攻击者的攻击手段可以更加具体,不仅包含了受害者的姓名,还有受害者手机联系人的姓名,甚至职务、场景等信息。这些具体的信息会极大提高攻击者诈骗的成功率。

● 钓鱼网址网站类

        攻击者还会通过大量的类似或相仿域名、高仿的网站界面等来达到欺诈用户的目的。

        ■ 伪装招商银行银行卡实名登记

        说明:由于招行是攻击者最倾向的攻击目标之一,在此以招行举例,但这并不代表只有招行面临此威胁,也不代表招行原有安全解决方案无法有效防御此类威胁。

        伪装成招行95555发送钓鱼短信,其中钓鱼网站URL(m.cmbrhina.com)和官网(m.cmbchina.com)相似度极高。钓鱼网站诱导受害用户输入姓名、卡号、密码、身份证号、手机号码,并诱导用户输入验证码内容。如下图所示:

图17-17

        ■ 伪装移动积分兑换业务的威胁

        攻击者伪装成10086号码进行钓鱼短信的投放,其中钓鱼网站的URL链接(I0086ium.com)与10086官方的域名(wap.10086.cn)极为相似。钓鱼网站会诱骗受害用户输入用户姓名、银行卡号、密码、身份证号、手机号码并窃取。下图为钓鱼网站伪装成中国移动掌上营业厅的界面:

图18-18

1.2.3伪基站短信投放技术【8】

        在2008年和2009年,开源爱好者发起并成立了OpenBTS项目,其目的是通过OpenBTS和Asterisk来实现无线电测试和私有通讯网络的构建。伪基站以这项技术和相关的硬件为基础,配合信号定向增益,信号定向屏蔽等手段来实现移动终端和私有GMS网络的强制接入。

        伪基站是一套非法无线电发射装置,通常由一台笔记本电脑、一台发射器、一根天线、一部手机、一组电瓶组成。其中手机用于探测伪基站可用的工作信道,到了某个区域后,用这个改造过的手机就可以测定出这个区域基站的信道,然后伪基站开始广播控制信道,由于信号的强度优势,诱使周围的手机连接伪基站,最后向连接上来的手机发送垃圾短信。从攻击角色上看,伪基站也是一种中间人攻击。

        下图为移动终端和正常基站的通信原理图:

图19-19

        从整个鉴权流程可以看出,在GSM网络中,SIM卡接入网络的鉴权方式是单向鉴权:只能网络对卡鉴权,卡无法鉴权网络。因此无法对抗主动攻击,如伪基站,非法设备可以伪装成合法的网络设备,实行欺骗行为。

        下图为伪基站的整体工作流程:

图20-20

● 伪基站进行监听与伪装

        获取邻小区广播控制信道频率,选定信号最弱的频率并发射伪装后的广播控制信号。

● 吸引手机接入

         ■ 手机发现位置区识别码变化,要重选接入小区,伪基站要求手机鉴权,手机发送鉴权应答信息,伪基站直接确认成功;

         ■ 手机发现接入小区变化,触发位置更新请求;

         ■ 伪基站向手机发起识别请求,获取到IMSI、IMEI;

● 发送短信

        伪基站设定任意主叫号码,于独立控制信道发送任意数量短信,从而实现强制短信投放,并通过修改短信PDU中的来源号码实现欺诈。攻击者会套用特定的欺诈短信内容模板进行大范围的伪基站投放,例如“尊敬的用户: 您话费积分已满xxx可兑换xxx元现金礼包,请登陆 xxx.xxx.xxx 激活领取,过期失效【中国移动】”,更多伪基站发送的欺诈短信模板可以参考白帽汇对伪基站钓鱼黑产的揭露一文【9】

1.2.4基于城市区域和物理位置的针对性投放

        AVL Team的分析人员在对攻击者进行分析和画像分析的过程中发现,攻击者在获得足够的隐私和相关的判断信息后,会对不同的城市,城市区域,以及与受害者高度相关的地理位置进行结合从而展开针对性的投放和攻击。

        分析过程中,我们发现,积分兑换等攻击模式在一线已经流行已久,故其更倾向于在西北等二三线城市投放;而较新的如信息过期、利用泄露隐私针对攻击等模式更多出现于一线城市。

1.2.5基于隐私数据的具针对性的钓鱼欺诈和木马植入

        目前由于互联网上用户的隐私数据以不同的方式和渠道被泄露到地下市场,并进行贩卖。为了更进一步提高钓鱼欺诈和木马植入的成功率,攻击者采取了大量结合其他隐私数据的有针对性的攻击。

● 通常来说,攻击者获取隐私数据的主要来源包含有:

         ■ 钓鱼网站窃取用户身份信息,银行账号信息等

         ■ 拦截木马窃取用户手机通讯录,历史短信内容,通过进一步萃取获得

         ■ 拖库、撞库导致不同平台的账号信息、注册信息和密码泄露

         ■ 地下产业链,非法倒卖用户隐私信息

● 攻击者获取到受害用户的大量隐私数据后,进行针对性的钓鱼和欺诈攻击,常见的手法主要有:

         ■ 用户社交关系信息泄露:冒充好友或者联系人的口吻发送钓鱼短信,短信内容中包含受害者姓名和朋友姓名

         ■ 车辆信息泄露:欺诈的交通违章通知短信,其中包含车辆所属人姓名和泄露的车牌号码信息

         ■ 地理位置信息泄露:小区位置,办公场所位置泄露

         ■ 快递单号信息泄露:欺诈的快递查询通知短信,其中包含快递公司名称、快递运单号;虚假的快递包裹扣留进行电话诈骗

         ■ 航班信息泄露:欺诈的航班信息更改或者取消通知短信,其中包含受害者姓名和航班号

         ■ 公司组织结构信息泄露:钓鱼短信中包含公司名称和员工姓名,通常以工资调整,财务或总经理要求为名义

         ■ 银行流水信息泄露:伪装成银行贷款,积分服务等进行针对性欺诈

         ■ 身份证号码,银行卡号码泄露:银行卡被复制,被盗刷

        短信示例:

图21-21

1.2.6按时间自动行为停止或自毁

        通过AVL Team的分析可以发现,恶意代码木马通常具有一定的按时间自我销毁或停止运行等行为,通常表现为会在特定时间之后停止运行,甚至自我删除。目前不仅仅存在对短信拦截马的木马源码的交易和出售,还存在拦截马拦截能力,通道和服务化的交易模式,所以自毁和停止行为可能和地下产业链的交易模式有关,同时不排除木马被用于对用户更具有针对性攻击的场景中。

图22-22

1.2.7多通道远程控制技术

        通过AVL Team的分析可以发现,由于移动终端多样化的通信能力,恶意代码木马通常具备多种远程控制技术,并通过组合的方式灵活使用不同通信线路的远程控制能力。多通道的远程控制能力使得对恶意代码的阻断和封杀的成本急剧增加,通常在对其中一种远控能力进行阻断后,恶意代码依然可以保持活跃和有效性。恶意代码木马使用不同远程控制通道的主要方式有如下几种:

        ● 网络C2:主要用于远程指令下发,心跳数据搜集和部分机器型号等基本隐私信息搜集,也在部分木马看到用于隐私手机和二次恶意代码载荷投放。         

        ● 邮箱C2:主要用于受害者通讯录,短信,环境录音信息采集和中转,也在部分恶意代码看到用于实时短信采集。         

        ● 手机短信C2:主要用于受害者实时短信拦截和转发,也在部分恶意代码看到用于指令下发和远程控制。

1.2.8回传短信内容置换隐秘

        通过AVL Team的分析可以发现,木马会在转发短信到攻击者手机号码时,以及在进行批量短信回传时,对特定的敏感关键字进行替换,可能主要是为了规避运营商的短信敏感字检查,以免手机号被封号。如下图所示:

图23-23

图24-24

1.2.9免杀和持续留存技术

        发展迅速的拦截木马家族,在持续的演变过程中不得不与安全软件查杀进行对抗,因此除了常规的恶意代码手段,拦截马家族更喜欢采用加壳这种简单有效的手段来实现免杀。频繁更换和修改加壳方式,高频率持续更新以保证绕过安全软件,拦截马对抗颇有09年PC上的免杀趋势。

        下图为拦截马家族加壳样本的捕获情况,从图中可见,从拦截马最早出现的时候就已经开始有对加壳技术的使用了,不过直到2014年6月才开始出现持续的增长,而现在正是高速爆发时期。

图25-25

        下图为拦截马加壳样本与当月样本数的统计情况,从图中可看到,拦截马的捕获数量依然在持续增长,而加壳样本比例亦在增加。

图26-26

        AVL Team分析人员通过对拦截马加壳样本所采用的加壳方案进行统计,发现其中大部分都使用了apkprotect这一加固方案,相对而言,采用其他方案的则少许多:

图27-27

        加固是一把双刃剑,保护开发者APP的同时也成为木马作者的一把“保护伞”,希望诸多加固公司能在加固应用前多做恶意代码审核工作,或尽可能采取与第三方专业恶意代码检测安全厂商深度合作的策略。

        恶意程序除了采用加固来实现免杀以外,还主要使用以下两种技术手段实现持续的留存:

        ● 启动后隐藏图标

        ● 激活设备管理器防止卸载

        据统计,超过35%的拦截马应用启动后会隐藏图标,37.5%的拦截马应用通过激活设备管理器防止用户卸载。

1.2.10主动筛选高价值受害用户或侵害目标

        攻击者会在控制邮箱中人工筛选高价值的攻击目标,例如下图所示,对身份为领导或者银行账户余额多的受害用户进行标记。

图28-28

1.2.11二次贩卖和利用窃财通道价值变现

        攻击者在最终获得大量的数据和终端控制权后,通常会对获取的数据进行持续有效的利用,利用的方式主要有:对隐私、关键资产和恶意代码等进行二次贩卖,直接通过价值变现通道实现价值提取和财产窃取。

        ● 用户的各种身份信息、账号信息通过不同的渠道进入地下市场进行交易和交换:

                ■ 钓鱼网站窃取了诸如银行卡信息、CVV号、密码,还有身份证号、手机号码等信息

                ■ 拦截马主要围绕手机动态验证码信息,被攻击者用来提供二次服务

                ■ 各种非法的信息贩卖也泄露了姓名、身份证号码和手机号码

                ■ 对各大网站的拖库撞库攻击导致大量的网站登录账号和密码被泄露

        ● 当攻击者进行价值变现的时候,首先会选择不同的变现渠道,称为“通道”,

        通道主要有以下类型:

                 ■ 四大银行通道(无密、有密)

                 ■ 支付钱包通道(支付宝、财付通、易宝支付)

                 ■ 手机充值

                 ■ 电商购物、礼品卡充值等

        在变现过程中,需要获得对应的受害者短信验证码,这里需要和有拦截马控制渠道的恶意作者进行信息的交易和交换。

图29-29

图:信息贩卖与变现通道

1.3攻击活跃行为和受害者分布分析(2016年第一季度数据为主)

1.3.1攻击武器化阶段(Weaponize)

        攻击者精心制作木马程序、钓鱼网站,并注册大量类似官网的域名,还有邮箱、手机号码用于攻击使用。在这个环节,伪装运营商的钓鱼短信中68%伪装的是10086号码,而在攻击银行用户时,接近60%的钓鱼网站都是伪装成招商银行和建设银行的官网。我们统计出钓鱼URL在2016年第一季度总共有15w以上,统计分布如下:

        钓鱼URL在2016年第一季度的统计:

图30-30

        拦截木马在2016年第一季度的数量情况:总共105913个hash

        拦截木马在2016年第一季度的变种分布数量:

图31-31

1.3.2攻击投放阶段(Delivery)

        攻击者使用伪基站投放木马时,通常伪装成10086,95555,95533等号码发送欺诈的钓鱼短信或含有恶意代码链接的欺诈短信,短信内容早期主要用移动积分兑换来诱导用户安装木马,之后逐渐发展出了聚会相册、积分清空、银行失效、成绩通知单等容易吸引用户关注的话题。AVL Team通过捕获的数据做出如下统计:

        2016年第一季度钓鱼短信关键字分布统计:

图32-32

1.3.3攻击实施阶段(Attack)

        此阶段攻击者会伪装成正常的应用名称或图标,诱导用户安装木马程序到手机。仅2016年第一季度,AVL Team捕获到的短信拦截木马的实际hash数量就达到52408。

        攻击拦截木马的实际恶意代码变种数量:

图33-33

        2016年第一季度受感染终端(按日):

图34-34

        从2016年开始,整体的攻击范围和受害范围相比2015年提高了3倍(排除自然干扰)。

图35-35

        ● 2016年第一季度受感染终端在国内分布:

图36-36

1.3.4持续侵害阶段(c2obj)

        ● 2016年第一季度受侵害用户在国内分布:

图37-37

        ● 第三方支付工具类的受害用户统计:

图38-38

        ● 银行类的受害用户统计:

图39-39

        除了上图所示被攻击的20家银行以外,还涉及到以下30家银行:

        包商银行、南京银行、宁波银行、重庆银行、贵阳银行、哈尔滨银行、兰州银行、汉口银行、青岛银行、恒丰银行、东莞银行、渤海银行、郑州银行、杭州银行、齐鲁银行、桂林银行、上海农商银行、湖北银行、企业手机银行、顺德农商银行、重庆三峡银行、德阳银行、常熟农商银行、微众银行、齐商银行、温州银行、稠州银行、青海银行、江阴农商银行、熊猫银行支付。

        通过对受害者被泄露的隐私数据进行分析可知,有50家不同银行的用户都遭受过“短信拦截木马”威胁的攻击,其中除了商业银行以外,还包含了各个地区的地方银行;除此之外使用银联、支付宝、微信支付和京东支付的用户也遭受了信息被泄露的风险。

第二章

2.1攻击者画像和溯源分析

2.2攻击者基础设施分析

2.3受害者画像(包含详细资产受损评估)分析

总结和趋势

● 黑产行动的攻击面和受害面

        本文所披露的威胁活动最早出现于2013年5月,进行了接近3年的持续有效的大规模威胁和攻击,其中涉及的参与人员已经超过1万人。根据我们掌握的数据进行推导,整体参与人员可能接近十万人规模,并形成了明确分工体系。从我们所获得的数据来看,在中国范围内,2016年第一季度的面临风险的用户整体规模接近3000万人,其中有超过30万用户(1%)的手机不幸被拦截马攻击并构成移动僵尸网络,受到影响的用户资产超过千亿。通过我们的数据佐证和推导:在过去接近3年的持续攻击中,影响范围在1亿人以上,其中累积超过100万用户不幸被感染和控制,地下产业链的整体规模应该在接近百亿的规模,影响的资产危害面接近千亿规模。

● 可以采取的有效措施

        通过对攻击银行用户的安全威胁的分析,以及从移动威胁情报的维度对银行类威胁攻击中最为广泛的“短信拦截木马”威胁进行深入的画像分析,我们可以看到,攻击者已经形成了非常成熟的攻击战术、攻击技术和攻击实施流程。为了避免更多的受害用户遭到威胁的攻击以及将受害用户的损失降到最低,通常我们可以采用的行动策略有:

                ■ 通过联合职能部门,运营商,增强对威胁投放渠道的监测和阻断,通过和安全厂商紧密协作,形成有效合理的处置手段,避免盲目处置。

                ■ 银行,金融相关公司应该增强对此类安全威胁的重视,结合威胁情报形成战略到战术、到落地能力支撑,以加强联合防御和处置。

                ■ 通过对攻击者的进一步回溯和分析,对攻击链路上不同环节的攻击者进行有效的打击和追溯。

                ■ 通过对受害者画像分析和受害者定位情报的支撑,对潜在受害者进行定向防御并采取合理有效的缓解策略。

● 威胁演变和发展的进一步趋势

        事实上,我们可以看到的是,由于移动互联网投放手段、分发方式的多样性,伪基站和钓鱼短信仅仅是当前攻击者采取的较为高效和低成本的手段。我们相信,伴随着相关职能部门在运营上的持续打击和处置,这类投放手段会受到进一步的压制,但同时也要警惕到,攻击者必然会寻求其它的攻击投放手段,进入新的一轮对抗中。同时,当前攻击者还在积极扩大范围,以寻求能更高效和快速完成价值变现的各种渠道和手段。

        在对抗不断升级和变换的过程中,我们对趋势的进一步判断是:

        ■ 用户的隐私信息依然是攻击的主要目标,主要围绕用户的短信,通讯录信息,地理位置以及IM信息等等;

        ■ 伪基站投放的钓鱼短信的欺诈形态将变得更加多样,如仿冒成电商、团购等业务的消息,并结合短URL变得更具迷惑性;同时伴随伪基站的进一步的打压和处置,攻击者在投放策略上已经出现逐步迁移的迹象,例如采用虚拟运营商或其它非短信投放策略;

        ■ 攻击者将会采用更加多样的投放方式,例如恶意广告推广、色情应用推广、流量分发等等;同时,将会根据投放方式的回报率以及成本来考量投入策略,从而选择成本更低,投放更精准的投放策略和线路。同时,攻击将会变得更具针对性和连续性,例如针对受害用户的社交关系的二次威胁和高精度的诈骗;

        ■ 短信验证码和双因素验证绕过是当前针对金融的恶意代码的重点攻击目标,但未来伴随着验证技术和防御手段的升级,以及新的攻击面的出现,有可能出现新的攻击载荷和手法来实现绕过;

        ■ 具备重度用户隐私获取和轻量级实时远控能力的恶意代码载荷是攻击者威胁行动的核心,攻击者将逐步的从单点木马攻击逐步演化成为移动僵尸网络型的攻击,并进一步进入到利用移动僵尸网络持续扩大攻击的状态;

        ■ 目前在世界范围都出现了非常广泛的利用移动恶意代码对金融行业进行攻击的现象,但境内和境外还存在较大的环境差异性。当前,我们已经发现了在境外也出现相仿攻击模式增加,并有一定关联的情况,因此,攻击者不一定都来自境内,可能存在较为复杂的跨境犯罪和黑产技术跨境输出和交易的趋势;

        ■ 部分支付类或者交易类APP将后端业务逻辑实现在终端侧,将导致针对暴露业务接口的攻击变得更多,同时,我们也会发现,随着黑产经济能力积累和技术能力的增强,对银行的基础设施和业务主体,对银行本身机构的攻击风险将会大大增加。采取物理隔离和传统安全环节组合的银行系统,同样可能面临高级风险,需要结合威胁态势和情报战术,逐步建立更完善的纵深防御体系。

        最终,需要我们看到的是,由于木马受害者群体已经到一定的规模,攻击者在技术和经济能力上完成了一定的积累,同时,木马依然具备进一步远程控制和二次利用的能力,对攻击者来说,受害群体构成了他们可以用于二次攻击的移动僵尸网络,正如同我们的命名代号DarkMobileBank一般,攻击者会进一步利用和放大完成价值变现,同样也会根据对抗和防御的形式不断调整自己的策略,攻防和对抗将进一步延续。

尾声

        DarkMobileBank 作为一类典型的黑产犯罪,具有极大的危害性。这种犯罪瞄准智能终端的安全弱点和用户心理特点,凭借高度程序化的协同进行团伙作业,同时随着犯罪经验、工具、平台交叉共享,作案成本不断下降,作案手法也不断更新;同时随着团伙分化与家族化的培训,作案群体人数逐步膨胀。同时,这种攻击不一定只是来自境内,其可能同样也有境外黑产团伙的身影,从而使整个局面更为复杂。中国是一个有7亿网民的互联网大国,其中一多半使用智能终端,哪怕是一个非常小的比例用户遭到感染,也会形成一个很大的感染数量。从而导致受害人的财产损失,并可能连带引发关联的社会问题。

        针对类似黑产犯罪,国家网络安全管理部门和相关职能部门陆续采取了积极和有效的行动实施针对性的处置和打击。公安部门、工信等部门在多地展开伪基站的查处并积极推出了接警止付平台,CNCERT等职能部门开始通过互联网网络安全威胁治理联盟加强对威胁的有效快速的联合处置和打击,运营商也开始在电信诈骗和犯罪层面加强拦截和阻断。威慑和止损能力正在形成,相关犯罪的膨胀势头开始受到遏制,但形势依然严峻,每天依然有大量用户受到侵害。我国信息化发展长期没有获得同步安全投入,支撑犯罪打击、侦察取证的基础设施与能力尚不完备,建立全民的网络安全意识和基本安全技能更需要长期过程和社会成本。这将是一个长期、复杂、艰巨的过程。

        习近平总书记在419网络安全与信息化座谈会上指出“网络安全为人民,网络安全靠人民”、“维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线”。安天等能力型安全厂商,始终战斗在与恶意代码和网络威胁的斗争的一线,我们希望不仅为使用我们检测引擎和安全产品的用户提供防护,也希望通过更有效的信息披露,为有关部门综合治理提供更多决策参考、为金融机构提供更精准的信息服务,为网民提供更有示范性的示警案例。

        习近平总书记说:“网络空间是亿万民众共同的精神家园”,为捍卫我们的精神家园、为保护网民的信息与财产,安天AVL 团队会不避风雨,一路前行。

关于安天和安天AVL Team

        安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。                  

        AVL Team是安天实验室旗下的独立移动安全公司,成立于2010年。成立至今,AVL Team始终专注于移动反病毒领域,致力于向合作伙伴提供最好的反病毒引擎和解决方案,对用户需求有着深刻的理解,并积累了丰富的经验和技术。AVL Team还对重大安全威胁作出高效的应急响应,并积极参与学术界和产业界活动。 AVL Team的主要产品是名为AVL SDK for Mobile的移动反病毒引擎中间件,可以用于检测移动平台的恶意代码、广告件和间谍件等。通过移动反病毒引擎中间件的广泛合作,AVL Team和40多家移动安全领域合作伙伴建立起来覆盖全球过亿用户的威胁感知和监控网络,并在2015年推出了全球首个移动威胁情报平台和相关服务。

附录1:国内OSINT列表

(1)2012.12.6 《新宙斯木马盗走470万美元》

http://m.qq.com/security_lab/news_detail_127.html

(2)2013.3.12 《手机支付现危机 银行客户端首次感染病毒》

http://m.qq.com/security_lab/news_detail_143.html

(3)2013.7.5 《新手机病毒瞄准银行应用》

http://m.qq.com/security_lab/news_detail_180.html

(4)2013.7.9 《病毒专盯韩国银行APP》

http://m.qq.com/security_lab/news_detail_181.html

(5)2013.9.28 《替换网银盗取钱财,小心“吸金幽灵”病毒! 》

http://seclab.safe.baidu.com/2013-09/bank-googleplay.html

(6)2013.10.29 《黑产-11月最新灰色项目,短信拦截马,支付宝银行卡有多少洗多少! 》

http://www.80lou.com/thread-425719-1-1.html

(7)2013.11.19 《假冒建行网银病毒》

http://seclab.safe.baidu.com/2013-11/fakeccb.html

(8)2013.12.5 《探秘伪基站产业链》

http://drops.wooyun.org/tips/771

(9)2013.12.5 《“支付宝大盗”病毒》

http://seclab.safe.baidu.com/2013-12/alipay-phishing.html

(10)2013.12.16 《探秘短信马产业链-从逆向到爆菊》

http://drops.wooyun.org/tips/789

(11)2014.1.2 《毒王“银行悍匪”出现:可窃取20余手机银行账号密码》

http://m.qq.com/security_lab/news_detail_221.html

(12)2014.1.10 《手机支付毒王“银行悍匪”恶意行为技术大揭秘》

http://m.qq.com/security_lab/news_detail_222.html

(13)2014.2.10 《银行悍匪的前世今生》

http://seclab.safe.baidu.com/2014-02/bank_ruthless.html

(14)2014.3.26 《支付病毒猖獗 腾讯手机管家查杀“鬼面银贼”》

http://m.qq.com/security_lab/news_detail_235.html

(15)2014.4.25 《仿冒银行升级助手的木马分析》

http://blogs.360.cn/360mobile/2014/04/25/fakebank/

(16)2014.5.5 《伪银助手盯上手机网银》

http://m.qq.com/security_lab/news_detail_242.html

(17)2014.5.6 《手机银行再染毒》

http://m.qq.com/security_lab/news_detail_243.html

(18)2014.5.23 《网银ibanking恶意病毒升级》

http://m.qq.com/security_lab/news_detail_246.html

(19)2014.6.5 《“伪中国移动客户端”—伪基站诈骗》

http://blog.csdn.net/androidsecurity/article/details/28603021

(20)2014.8.1 《支付病毒泛滥 腾讯手机管家独家查杀“韩银大盗”》

http://m.qq.com/security_lab/news_detail_260.html

(21)2014.9.4 《“银联间谍”盗银行账号密码》

http://m.qq.com/security_lab/news_detail_268.html

(22)2014.9.16 《FakeTaobao家族变种演变》

http://blogs.360.cn/360mobile/2014/09/16/analysis_of_faketaobao_family/

(23)2014.11.12 《仿冒“银联收银台”木马分析报告》

http://blogs.360.cn/360mobile/2014/11/12/analysis_of_artificial_unionpay/

(24)2014.12.02 《伪装建设银行App新型病毒》

http://m.qq.com/security_lab/news_detail_283.html

(25)2015.1.31 《”白帽子”攻破钓鱼网站 伪基站诈骗链条曝光》

http://bobao.360.cn/news/detail/1185.html

(26)2015.2.5 《拦截马-针对中国移动用户的强大网银木马剖析》

http://www.freebuf.com/news/special/58329.html

(27)2015.2.27 《拦截马开始伪装成违章提醒》

http://www.anquan.org/news/873

(28)2015.3.24 《“信用卡劫匪”盗刷用户资金》

http://m.qq.com/security_lab/news_detail_307.html

(29)2015.4.2 《伪基站与网络钓鱼的结合利用测试及结果分析,从不同角度看伪基站》

http://www.freebuf.com/articles/wireless/62535.html

(30)2015.4.14 《FakeTaobao家族变种演变(二) 》

http://blogs.360.cn/360mobile/2015/04/13/analysis_of_faketaobao_family_2/

(31)2015.9.7 《猎豹-“短信拦截马”黑色产业链与溯源取证研究》

http://www.freebuf.com/articles/terminal/77331.html

(32)2015.10.19 《揭开伪基站的神秘面纱》

http://www.freebuf.com/news/81793.html

(33)2015.11.11 《短信木马2.0来袭:“网络木马”即将泛滥》

http://www.freebuf.com/articles/terminal/85096.html

(34)2015.12.4 《腾讯-从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国》

http://www.freebuf.com/articles/terminal/88234.html

(35)2015.12.18 《攻击伪基站拦截马-螳螂捕蝉黄雀在后,记一次复现洗钱过程》

http://www.secpulse.com/archives/42015.html

(36)2016.2.17 《腾讯-连环套:欺诈木马伪基站+伪10086让人防不胜防》

http://www.freebuf.com/articles/96246.html

(37)2016.3.8 《警惕黑产利用企业邮箱团伙作案》

http://www.sec-un.org/alert-to-black-mail-gang-crime.html

(38)2016.3.23 《瑞星-深度解读“短信拦截马”的黑产利益链》

http://www.freebuf.com/articles/wireless/99702.html

(39)2016.4.7 《深度揭秘:伪基站短信诈骗产业传奇始末! 》

http://weibo.com/ttarticle/p/show?id=2309403961671860254555

(40)2016.4.8 《预告篇:针对金融领域伪基站钓鱼黑产的分析》

http://weibo.com/5734490991/DpYYhcU8d

(41)2016.4.10 《央视调查:5分钟网上买到上千条银行卡信息,几乎全部正确》

http://www.thepaper.cn/newsDetail_forward_1454570

附录2:安天AVL移动安全团队公开报告列表

(1)2014.3.18 《315曝光基于二维码传播的手机短信转发木马分析报告》

http://blog.avlyun.com/2014/03/311

(2)2014.4.5 《北极熊蠕虫分析报告》(短信蠕虫)

http://blog.avlyun.com/2014/04/403

(3)2014.5.8 《警惕手机钓鱼网站植入木马》(移动积分)

http://blog.avlyun.com/2014/05/713

(4)2014.7.11 《警惕手机钓鱼网站植入木马—电信篇》(电信积分)

http://blog.avlyun.com/2014/07/1283

(5)2014.8.4 《xxshenqi木马分析报告》(短信蠕虫)

http://blog.avlyun.com/2014/08/1326

(6)2014.10.8《短信拦截马黑产揭露》(首次披露完整地下产业链)

http://blog.avlyun.com/2014/10/1387

(7)2014.12.4《警惕恶意代码传播者盯上QQ群》(QQ群投放)

http://blog.avlyun.com/2014/12/1765

(8)2015.2.9《曝光惊天银行卡大盗》(钓鱼后台)

http://blog.avlyun.com/2015/02/2128

(9)2015.5.15《短信拦截马”相册”综合分析报告》

http://www.antiy.com/response/emial.html

(10)2015.12.31《新“马”新气象,拦你没商量》(校讯录)

http://blog.avlyun.com/2015/12/2634

(11)2016.2.24 别抢红包了!小心倾家荡产!

http://blog.avlyun.com/2016/02/2815

附录3:安天AVL移动安全团队发现相关恶意代码家族部分命名清单

图40-40

附录4:典型移动恶意代码分析报告

分析报告一:《新“马”新气象,拦你没商量》

http://blog.avlyun.com/2015/12/2634/malware/

分析报告二:《短信拦截马”相册”综合分析报告》

http://www.antiy.com/response/emial.html

参考:

【1】 中国互联网络发展状况统计报告 2016.01
http://www.cnnic.cn/hlwfzyj/hlwxzbg/201601/P020160122469130059846.pdf

【2】 央行发布《2015年第一季度支付体系运行总体情况》 http://www.pbc.gov.cn/eportal/fileDir/image_public/UserFiles/goutongjiaoliu/upload/File/2015%E5%B9%B4%E7%AC%AC%E4%B8%80%E5%AD%A3%E5%BA%A6%E6%94%AF%E4%BB%98%E4%BD%93%E7%B3%BB%E8%BF%90%E8%A1%8C%E6%80%BB%E4%BD%93%E6%83%85%E5%86%B5%EF%BC%88%E6%AD%A3%E5%BC%8F%E7%89%88%EF%BC%89.pdf

【3】 网上银行系统信息安全通用规范 http://wenku.baidu.com/view/68b304a0284ac850ad024270.html

【4】 交通银行股份有限公司个人电子银行交易规则 2014.10.05
http://www.bankcomm.com/BankCommSite/shtml/zonghang/cn/2629/2642/2643/37258.shtml?channelId=2629

【5】 安天AVL Team2015移动安全年报 2016.02.05 http://blog.avlyun.com/2016/02/2759/2015report/

【6】 Kaspersky Lab 2015.12.15 Mobile banking threats among the top 10 malicious financial programs for the first time http://www.kaspersky.com/about/news/virus/2015/Kaspersky-Lab-mobile-banking-threats-among-the-top-10-malicious-financial-programs-for-the-first-time

【7】 Mobile threat report what’s on the horizon for 2016 http://www.mcafee.com/us/resources/reports/rp-mobile-threat-report-2016.pdf

【8】 走近科学:揭开伪基站的神秘面纱 2015.10.19 http://www.freebuf.com/news/81793.html

【9】 针对金融领域伪基站钓鱼黑产的分析报告 2016.04.23 http://www.aqniu.com/threat-alert/15267.html#jtss-tsina http://seclab.safe.baidu.com/2013-11/fakeccb.html

转载请注明来源:http://blog.avlsec.com/?p=3006

微信二维码

来自远方的“僵尸之手”

图0-0

最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒“僵尸之手”——一种伪装成正常应用,并通过远程指令控制中毒手机,实施恶意行为的病毒。该病毒通常伪装成正常的工具类应用或娱乐类应用进行传播(如下图所示)。“僵尸之手”在用户未察觉其为病毒的情况下安装进入用户手机,成功绕开部分杀毒软件的查杀后,进而联网下载实际发挥恶意作用的程序并诱导用户安装。一旦实现远程控制中毒用户手机,“僵尸之手”将强制手机下载更多其他病毒软件并尝试安装。
图1-1
图 伪装正常应用的“僵尸之手”系列应用

如果你以为这样就算完了,
小编只能朝天猛吼一句,
图样图森破啊!

如果已Root的手机不幸中招,该病毒在获取中招手机Root权限后将自动下载并安装、运行病毒软件,造成用户流量和资费的严重损耗!此外,“僵尸之手”还会在特定时机自动卸载病毒,第一时间清理“作案”现场,中招的用户往往话费被”掏空“了都不知道是为啥…

经过分析,安天AVL移动安全和猎豹移动安全实验室总结“僵尸之手“恶意软件有如下行为特征:
1、 恶意程序启动后,会私自下载其他恶意子程序,安装并启动恶意子程序。
2、 恶意子程序启动后,会执行恶意扣费、流氓推送等恶意行为。
3、 恶意子程序启动本地服务并常驻后台,同时每隔15分钟联网获取远程控制指令,根据指令进行相应操作。
图2-2
图 “僵尸之手”作案流程图

一、恶意代码详细分析

Step1:下载并安装恶意子程序

程序启动后,通过监听用户开机启动、解锁、网络变化的情况来启动恶意程序相应的功能模块,功能模块启动后会通过网址http://dfchan.cn.com:8080/a/dfc_poll2.apk下载恶意子程序。

图3-3
图 下载恶意子程序

该恶意程序在恶意子程序下载结束后会请求root权限,并试图使用shell cat命令将恶意子程序重定向到系统目录下,若重定向失败会试图使用pm install –r 命令静默安装恶意子程序,如果仍然失败则会弹出“您有组件需要立即更新,点击更新”的通知栏,诱导用户主动点击进行安装。

图4-4
图 重定向恶意子程序到系统目录

图5-5
图 静默安装恶意子程序

图6-6
图 通知栏诱导安装恶意子程序

Step2:通过远程指令控制推送恶意应用安装、运行和卸载

该恶意软件成功安装恶意子程序后,会创建一个每隔15分钟启动的定时服务:CmdService。该服务启动后,恶意软件通过网址:http://111.67.201.217:8080/a/taskList5.txt联网获取远程控制指令,同时解析指令执行相应的操作。

图7-7

远程指令格式:#StartHour~EndHour,, ,,classname-cmdid url packagename servicename
指令字段说明:

图8-8

当前活跃的远程指令主要在Sao和Browse类中,指令信息如下图所示:

图9-9

从Sao类中获取下载apk的网址,下载并将apk文件保存在files目录。程序通过请求root权限试图将下载的apk进行静默安装或使用系统安装界面进行安装,并使用包名和service来启动apk,最后将这些安装运行的apk加入到卸载列表。

在当前活跃指令中的网址下载的apk程序大部分为恶意应用,检出结果如下表:

图10-10

该恶意软件成功申请root权限后,定时服务CmdService再次执行时会将卸载列表中的恶意apk通过pm uninstall命令进行静默卸载,同时接收新的指令并执行。

图11-11 图12-12

在Browse类中,通过指令获取数据构造Uri去打开指定界面,在当前案例中通过浏览器来访问网址http://down.huobaotv.org/344/huobaotv.app下载服务端指定的安全性未知的应用。

图13-13

各类执行的指令功能如下图所示:

图14-14

Step3:恶意代码来源与行为类型分析

通过对该恶意软件来源进行调查分析,安天AVL移动安全和猎豹移动安全实验室共同发现该ftp.dsmer.com域名下77%的样本皆为恶意样本,并且可以被安天AVL SDK反病毒引擎全部检出。被检出样本行为分布如下: 图15-15

二、安全建议

针对“僵尸之手“系列恶意软件,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您: 

1、请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用; 
2、经常使用杀毒软件病毒扫描功能,以确认您的手机中是否可能存在安全隐患; 
3、尽量不要Root手机,已Root的手机用户请务必谨慎,不要轻易授予Root权限给您不信任的软件。

安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。

2014年,安天AVL移动安全与猎豹达成AVL SDK反病毒引擎战略合作。欢迎关注安天AVL移动安全的微信公众号AVLTeam,获取更多移动安全相关资讯以及合作咨询。 转载请注明来源:http://blog.avlyun.com/?p=2940

微信双方