根据猎豹安全实验室的云端监控数据显示,近1个月截获的“短信拦截”类样本变种数量超过10万,影响用户数达数百万之多。“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。
“短信拦截马”导致网银资金被盗的新闻屡见报端,作为一个安全厂商我们对受害用户的遭遇也深感痛心,这也推动我们在查杀对抗“短信拦截马”的工作中投入更多的努力。在安全对抗过程中我们对“短信拦截马”黑产的运作有了一些了解,在针对黑产团伙进行追踪取证方面也做出了一些尝试,下面把在我们这个过程中产生的一些经验和思考做一个分享,希望可以让用户能够更多地了解和规避此类安全风险,也希望安全圈内有更多的目光可以关注到这个问题。
典型样本分析
典型的“短信拦截马”从技术原理和实现上看并不复杂,大多通过注册短信广播(BroadcastReceiver)或者观察模式(ContenetObserver)监控手机短信的收发过程,当然也出现一些功能更全面强大的远控类手机木马,短信拦截只是其中的一项功能。网上类似的短信拦截源码也非常多,了解过安卓开发的都可以很快编写出一个“短信拦截马”,这也是“短信拦截马”变种速度快、传播泛滥的一个重要原因。
在我们近期的云端监控中有一类“短信拦截马”变种非常活跃,占据总体样本量的15%左右。该样本使用“stalker”作为配置信息的加密密钥,所以我们将其命名为“潜行者”,下面我们就以它为例对典型“短信拦截马”进行简单的技术分析。
从上图可以看出一个“短信拦截马”的典型功能结构,在我们对“潜行者”样本的分析过程中也发现一些比较有意思的细节,如下:
出于兼容性考虑,木马同时使用了“广播机制”和“观察者模式”两种方法进行短信拦截。从木马启动的时候检查授权时间也可以看出这个变种是由木马作者开发以后进行外部出售的。
木马在向控制手机回传部分短信时对敏感关键词进行了过滤替换,防止手机安全软件进行监控拦截。
黑色产业链结构
如下图所示,“拦截马”黑色产业链条从整体分工层次上看相对比较清晰,木马作者、分发传播、出料、洗拦截料、转账洗钱构成了黑色产业链的关键环节,其中握有大量“拦截料”的料主在整个链条中处于相对核心的地位。
另一方面从实际运作来看整个圈子又具有一定程度的复杂性,除了上述几个重要参与角色,每个产业链环节还会有一些其他黑产人员参与其中,比如盗卖个人信息、黑卡买卖、钓鱼后台维护、木马免杀处理等等,甚至还包括一些*洗钱组织的身影;黑产圈子内部也充满了欺诈,“黑料”这样的事情也成为常态,具有一定技术实力的团伙才是暴利所得者;另外某些技术、资源实力强大的团伙,可能会包揽整个链条的多个甚至是全部环节,其暴利收益自然也是最高的。
传播渠道
伴随着“短信拦截”黑色产业链的发展,技术门槛低、回报收益高的特点吸引着众多的各路黑产从业人员相继加入,拦截马的传播渠道也随之日渐丰富,各种钓鱼诱骗手段层出不穷,从伪基站、短信猫等硬件设备群发、色情钓鱼网站诱导以及鱼龙混杂的第三方app分发渠道均有介入。
我们从近期拦截的“短信拦截马”中抽取了2000个活跃样本,对其传播使用的文件名和部分钓鱼短信内容进行了关键词提取,统计结果如下图所示,从中我们可以看出利用“相册相片”、“文件资料”等关键词的钓鱼手法占据了一半以上,这类关键词一般用于通讯录群发这样的病毒式传播手段,拦截量相对较高;其次是伪基站类的钓鱼手法,常见类型如10086积分兑换、银行升级等;还有一部分是针对特定人群的钓鱼攻击,比如车辆违章、校园通、成绩单等,这些往往是由于车主或者家长信息泄漏导致的;最后还有一些是利用社会热点进行传播的,比如前段时间很火的“优衣库”事件。
如下图所示,传播渠道的变化还表现出一个重要趋势,从早期“普遍撒网”的暴力传播模式开始向定向精准化钓鱼攻击转变。尤其是近年来个人信息数据的泄漏买卖行为日益活跃,成为拦截马定向传播的一大帮凶,黑产团伙通过购买商业贷款、信用卡办理、网购用户等具有较高目标价值的个人数据,然后根据相关情景去精心构造钓鱼短信,由于短信中包含用户姓名、身份证号或者银行卡号等个人数据,而且短信的情景也符合近期办理的业务,收到钓鱼短信的用户往往放松了安全警惕导致中招;又例如出现一些“背包客”随身携带伪基站设备群发钓鱼短信,他们主要在大型购物商场、高端写字楼等区域活动,这些地方人流量足够大,更重要的是在此类区域活动的人群具有更高的“经济附加值”。
洗料通道
用户银行卡卡内的资金能够被黑产团伙顺利转移,一方面是由于用户网银信息泄漏和手机被木马控制,另一方面重要原因在于国内各类混乱的支付渠道缺乏有效安全监管,或多或少都存在一些风险控制上的漏洞。以我们去年跟进的一个“洗料通道”案件为例,北京某第三方平台的支付渠道被黑产团伙利用,短短数月的时间内受害用户多达数千人,损失金额从几十到数万不等。
黑产团伙“洗拦截料”的方式多种多样,不同“洗料通道”的转账限额也有差异。黑产团伙一般是通过银行、商户或者第三方支付的各类快捷支付渠道将用户卡内资金转走,从部分受害用户追查的消费记录来看,资金流向也五花八门,包括购买游戏币、彩票、话费充值、机票门票等多种多样的洗料方法。有些信用卡cvv码泄漏的用户还发现通过*消费渠道被划走资金。有些被感染手机可能还会被订阅一些恶意扣费服务或者使用手机话费支付购买游戏点卡后再进行销赃。
越来越多的认证绑定、安全验证被转移到用户手机上,作为个人信息中心的智能手机扮演了基础通讯之外更多的角色。一方面确实带来了非常多的便捷,但另一方面在手机中毒这样的特定场景下,用户的安全防线往往变得脆弱不堪。在保持手机支付便捷性的同时,我们需要一些更安全可靠的认证方式,比如指纹认证。安全对抗可能永远都不会止步,但是我们相信未来可以做得更好。
溯源取证案例- 黑产各环节关系交错复杂,一条“拦截料”被洗之前往往可能被买卖转手多次;
- 其用于钓鱼网站搭建或者接收控制的后台服务器较多使用国外主机;
- 用于命令控制的手机卡基本都是不记名卡,追查定位相对困难;
- 盗洗的资金也往往经过较多次的分流清洗,基本上都使用黑卡转账,给资金流向追踪带来困难。
当然作为一家安全厂商,在这场安全对抗中也有我们自己的优势,针对此类诈骗短信、钓鱼网站以及“短信拦截马” 变种传播速度较快的特点,我们优化加强了云端安全鉴定机制,可以做到更快的全网响应拦截,避免其进一步传播危害用户;另一方面通过对这些分散的网银钓鱼攻击、手机木马传播等拦截数据的汇总分析,从中我们可以梳理出全国各地区活跃度较高的黑产团伙,然后进行更具针对性的监控和追踪取证。