0x00 引言


根據獵豹安全實驗室的云端監控數據顯示,近1個月截獲的“短信攔截”類樣本變種數量超過10萬,影響用戶數達數百萬之多。“短信攔截”木馬作為安卓手機病毒中的一類常見樣本,近兩年來顯現出爆發增長的趨勢,其背后的黑色產業鏈也日益發展壯大,“短信攔截馬”的日趨泛濫已經成為移動支付、網銀財產等各環節的焦點安全問題。

“短信攔截馬”導致網銀資金被盜的新聞屢見報端,作為一個安全廠商我們對受害用戶的遭遇也深感痛心,這也推動我們在查殺對抗“短信攔截馬”的工作中投入更多的努力。在安全對抗過程中我們對“短信攔截馬”黑產的運作有了一些了解,在針對黑產團伙進行追蹤取證方面也做出了一些嘗試,下面把在我們這個過程中產生的一些經驗和思考做一個分享,希望可以讓用戶能夠更多地了解和規避此類安全風險,也希望安全圈內有更多的目光可以關注到這個問題。

0x01 典型樣本分析


典型的“短信攔截馬”從技術原理和實現上看并不復雜,大多通過注冊短信廣播(BroadcastReceiver)或者觀察模式(ContenetObserver)監控手機短信的收發過程,當然也出現一些功能更全面強大的遠控類手機木馬,短信攔截只是其中的一項功能。網上類似的短信攔截源碼也非常多,了解過安卓開發的都可以很快編寫出一個“短信攔截馬”,這也是“短信攔截馬”變種速度快、傳播泛濫的一個重要原因。

在我們近期的云端監控中有一類“短信攔截馬”變種非常活躍,占據總體樣本量的15%左右。該樣本使用“stalker”作為配置信息的加密密鑰,所以我們將其命名為“潛行者”,下面我們就以它為例對典型“短信攔截馬”進行簡單的技術分析。

從上圖可以看出一個“短信攔截馬”的典型功能結構,在我們對“潛行者”樣本的分析過程中也發現一些比較有意思的細節,如下:

  1. 出于兼容性考慮,木馬同時使用了“廣播機制”和“觀察者模式”兩種方法進行短信攔截。從木馬啟動的時候檢查授權時間也可以看出這個變種是由木馬作者開發以后進行外部出售的。

  2. 木馬在向控制手機回傳部分短信時對敏感關鍵詞進行了過濾替換,防止手機安全軟件進行監控攔截。

0x02 黑色產業鏈結構


如下圖所示,“攔截馬”黑色產業鏈條從整體分工層次上看相對比較清晰,木馬作者、分發傳播、出料、洗攔截料、轉賬洗錢構成了黑色產業鏈的關鍵環節,其中握有大量“攔截料”的料主在整個鏈條中處于相對核心的地位。

另一方面從實際運作來看整個圈子又具有一定程度的復雜性,除了上述幾個重要參與角色,每個產業鏈環節還會有一些其他黑產人員參與其中,比如盜賣個人信息、黑卡買賣、釣魚后臺維護、木馬免殺處理等等,甚至還包括一些境外洗錢組織的身影;黑產圈子內部也充滿了欺詐,“黑料”這樣的事情也成為常態,具有一定技術實力的團伙才是暴利所得者;另外某些技術、資源實力強大的團伙,可能會包攬整個鏈條的多個甚至是全部環節,其暴利收益自然也是最高的。

0x03 傳播渠道


伴隨著“短信攔截”黑色產業鏈的發展,技術門檻低、回報收益高的特點吸引著眾多的各路黑產從業人員相繼加入,攔截馬的傳播渠道也隨之日漸豐富,各種釣魚誘騙手段層出不窮,從偽基站、短信貓等硬件設備群發、色情釣魚網站誘導以及魚龍混雜的第三方app分發渠道均有介入。

我們從近期攔截的“短信攔截馬”中抽取了2000個活躍樣本,對其傳播使用的文件名和部分釣魚短信內容進行了關鍵詞提取,統計結果如下圖所示,從中我們可以看出利用“相冊相片”、“文件資料”等關鍵詞的釣魚手法占據了一半以上,這類關鍵詞一般用于通訊錄群發這樣的病毒式傳播手段,攔截量相對較高;其次是偽基站類的釣魚手法,常見類型如10086積分兌換、銀行升級等;還有一部分是針對特定人群的釣魚攻擊,比如車輛違章、校園通、成績單等,這些往往是由于車主或者家長信息泄漏導致的;最后還有一些是利用社會熱點進行傳播的,比如前段時間很火的“優衣庫”事件。

如下圖所示,傳播渠道的變化還表現出一個重要趨勢,從早期“普遍撒網”的暴力傳播模式開始向定向精準化釣魚攻擊轉變。尤其是近年來個人信息數據的泄漏買賣行為日益活躍,成為攔截馬定向傳播的一大幫兇,黑產團伙通過購買商業貸款、信用卡辦理、網購用戶等具有較高目標價值的個人數據,然后根據相關情景去精心構造釣魚短信,由于短信中包含用戶姓名、身份證號或者銀行卡號等個人數據,而且短信的情景也符合近期辦理的業務,收到釣魚短信的用戶往往放松了安全警惕導致中招;又例如出現一些“背包客”隨身攜帶偽基站設備群發釣魚短信,他們主要在大型購物商場、高端寫字樓等區域活動,這些地方人流量足夠大,更重要的是在此類區域活動的人群具有更高的“經濟附加值”。

0x04 洗料通道


用戶銀行卡卡內的資金能夠被黑產團伙順利轉移,一方面是由于用戶網銀信息泄漏和手機被木馬控制,另一方面重要原因在于國內各類混亂的支付渠道缺乏有效安全監管,或多或少都存在一些風險控制上的漏洞。以我們去年跟進的一個“洗料通道”案件為例,北京某第三方平臺的支付渠道被黑產團伙利用,短短數月的時間內受害用戶多達數千人,損失金額從幾十到數萬不等。

黑產團伙“洗攔截料”的方式多種多樣,不同“洗料通道”的轉賬限額也有差異。黑產團伙一般是通過銀行、商戶或者第三方支付的各類快捷支付渠道將用戶卡內資金轉走,從部分受害用戶追查的消費記錄來看,資金流向也五花八門,包括購買游戲幣、彩票、話費充值、機票門票等多種多樣的洗料方法。有些信用卡cvv碼泄漏的用戶還發現通過境外消費渠道被劃走資金。有些被感染手機可能還會被訂閱一些惡意扣費服務或者使用手機話費支付購買游戲點卡后再進行銷贓。

越來越多的認證綁定、安全驗證被轉移到用戶手機上,作為個人信息中心的智能手機扮演了基礎通訊之外更多的角色。一方面確實帶來了非常多的便捷,但另一方面在手機中毒這樣的特定場景下,用戶的安全防線往往變得脆弱不堪。在保持手機支付便捷性的同時,我們需要一些更安全可靠的認證方式,比如指紋認證。安全對抗可能永遠都不會止步,但是我們相信未來可以做得更好。

0x05 溯源取證案例


在近兩年與“短信攔截馬”的安全對抗中,我們也實際接觸到了非常多的受害用戶,被盜資金少則數百上千,多則數十萬,而多方互相推諉責任、立案取證追查困難可能是大多數受害用戶得到的最終結果。拋開外部各方的其他因素,此類網絡犯罪的技術取證也確實存在一些難點,以“短信攔截馬”為例:

  1. 黑產各環節關系交錯復雜,一條“攔截料”被洗之前往往可能被買賣轉手多次;
  2. 其用于釣魚網站搭建或者接收控制的后臺服務器較多使用國外主機;
  3. 用于命令控制的手機卡基本都是不記名卡,追查定位相對困難;
  4. 盜洗的資金也往往經過較多次的分流清洗,基本上都使用黑卡轉賬,給資金流向追蹤帶來困難。

當然作為一家安全廠商,在這場安全對抗中也有我們自己的優勢,針對此類詐騙短信、釣魚網站以及“短信攔截馬” 變種傳播速度較快的特點,我們優化加強了云端安全鑒定機制,可以做到更快的全網響應攔截,避免其進一步傳播危害用戶;另一方面通過對這些分散的網銀釣魚攻擊、手機木馬傳播等攔截數據的匯總分析,從中我們可以梳理出全國各地區活躍度較高的黑產團伙,然后進行更具針對性的監控和追蹤取證。

[一]、偽基站短信釣魚案例

偽基站短信釣魚是“短信攔截馬”非常重要的一個傳播渠道,從偽基站釣魚網站攔截這方面著手,云端數據顯示從14年下半年開始,偽基站短信釣魚進入異常活躍期,高峰期平均每天新增的釣魚網站多達近千個。“短信攔截馬”的安全威脅、影響范圍都遠超其他類型的手機病毒,當黑產團伙同時掌握了用戶的銀行卡信息和驗證手機,用戶的網銀資產可以說是完全淪為“砧板上的魚肉”。

我們對其中的活躍釣魚網站進行了分類和安全測試,也對從其他渠道收集到的偽基站釣魚網站源碼進行了分析,發現了包括sql注入、存儲型xss、后臺越權等多類安全漏洞,由于這些常見偽基站釣魚站點大多基于幾類固定模版開發編寫,所以這些安全漏洞通用性相對較高。這些漏洞相對都比較簡單,今年在烏云等安全平臺也多有披露,這里就不再贅述技術細節。

活躍度高的偽基站釣魚網站會自動加入我們的取證系統中,通過對上述漏洞的批量自動利用我們可以對全國范圍內的活躍黑產團伙進行長期監控。綜合受害者分布、釣魚后臺登錄IP等數據分析,我們對全國偽基站釣魚黑產的規模和運作有了更深入的了解。

  1. 全國受害用戶眾多,從數百釣魚網站后臺記錄中共發現超過40萬條的用戶網銀數據,包括:姓名、身份證號、開戶行、銀行卡號、取款密碼、CVV碼等;通過跟蹤對比,這些活躍釣魚后臺平均每天新增數據超過300條,有些甚至多達上千條。
  2. 黑產團伙和受害用戶的分布都存在地域聚集的特點。黑產團伙集中在廣東、福建、海南、廣西等地區,比例超過80%;受害用戶分布較多的為廣東、湖南、湖北、河南4大省份,比例超過60%。

從14年下半年開始我們加強了對“偽基站釣魚”傳播渠道的監控力度,共篩選梳理出20余個高度活躍的黑產團伙,我們將掌握的部分犯罪證據和追蹤定位信息反饋給全國多地警方,配合打擊了這批黑產犯罪團伙。目前其中的部分涉案團伙已經抓捕歸案,涉案金額最少都在百萬級別,希望更多的受害用戶在結案以后能追回自己被盜的資金。

[二]、“短信攔截馬”取證案例

在本文的開始也提到了近兩年“短信攔截馬”樣本變種的攔截量增長非常迅猛。“短信攔截馬”樣本中相當一部分使用郵箱收信,同時使用手機短信進行遠程控制,這些特點都可以作為溯源取證的常見入手點;當然也有部分樣本使用一些web程序進行收信管理,在我們的實際測試過程中同樣發現了多類安全漏洞,可以用來輔助實現自動化的安全取證;另一方面,針對“短信攔截馬”的特點和傳播場景,我們也嘗試過“以彼之道還施彼身”的“反向釣魚”,后面會講到如何使用“反向釣魚”手段去追蹤黑產團伙。

我們的安全監控系統會對入庫的“短信攔截馬”樣本進行解包分析,根據輔助特征自動從反編譯代碼中提取出黑產團伙使用的郵箱帳號密碼和控制手機號碼,對其中攔截量較大的變種類型我們也會相應加強后續的監控跟蹤。

另一方面,基于“短信攔截馬”的特殊傳播場景,我們可以偽裝為受害者,使用樣本收信的郵箱帳號密碼或者后臺接口向黑產團伙投遞一封精心構造的“反向釣魚”誘餌,誘導其打開釣魚鏈接從而獲取到對方的IP地址。甚至更進一步誘導其安裝我們的釣魚app,然后使用GPS定位、前置攝像頭拍照等功能獲取更多的取證信息。

“反向釣魚”的取證思路并不復雜,重點在于“誘餌”短信要恰到好處的引起目標的興趣,同時也不能太過突兀引起目標警覺,最好是和部分正常短信信息融合到一起,做到“真中有假、假中有真”;另一方面,目標的注意力大多集中在如何從用戶短信中尋找到更多有價值的目標信息,所以往往會忽略“誘餌”的真假,這種心理特點也是“反向釣魚”手段能夠成功的一個重要因素。

0x06 更多思考


本文從典型樣本、黑產鏈條、追蹤取證等多個方面對“短信攔截馬”背后的黑色產業鏈進行了一些剖析總結,可以看出這一黑產的形成運作是一個復雜交錯的產物。我們對它的了解可能還比較片面,其中的種種隱秘內幕也遠超這篇文章所能揭露的。這場“短信攔截馬”的安全對抗除了安全廠商的查殺攔截之外,還涉及到移動網絡安全、手機系統安全、銀行資金風控、打擊犯罪等多個環節,如何更好地保護用戶網絡財產安全,我們需要比現在行動得更多、思考得更遠。

  1. 作為安全廠商,除了完善對“短信攔截馬”樣本、釣魚網站等威脅的鑒定機制、提升響應速度和查殺攔截率之外,我們應該從被動防御轉向主動出擊,憑借自身在數據分析、安全技術上的優勢,將安全對抗拉升到更高的層次。另一方面對于取證監控發現的其他受害用戶,可以通過合適的方式提前發出安全警告,避免用戶進一步遭受損失;
  2. 很多用戶受騙正是因為釣魚短信的發件人顯示為10086、95588等正常號碼而放松安全警惕導致中招,而提供安全可信的網絡環境應該是運營商的基本責任和義務,運營商需要加強對偽基站的監控打擊力度,幫助更多用戶升級到安全級別更高的4G網絡,減少遭受偽基站干擾的幾率;
  3. 各大銀行、各支付平臺需要加強對各自支付轉賬渠道的監管,完善對用戶資金轉移等敏感操作的風控機制,防止被不法分子利用竊取用戶網銀財產;
  4. 對于手機廠商,安全保護同樣是手機ROM開發設計需要考慮的一個重點環節,廠商可以從系統底層加強對敏感權限的訪問控制,尤其是涉及到用戶隱私的聯系人、短信記錄等信息,做到更好的保護和提示。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞