今天的宅客「黑鏡頭」,我們來看一個逆天的詐騙劇本:
1、你收到一條簡訊,內容是:電子憑證或者單位代號,其中附加了一個連結。你覺得這條簡訊可能和自己的工作生活相關,於是點擊了連結,有一個名為「最高人民檢察院」的 App被安裝到了手機上。
2、幾天後,你突然接到來自「警方」的電話,對方嚴厲地警告你:你涉嫌犯罪,需要配合調查,把資金轉移到警方的「安全帳戶」。
3、你表示呵呵,因為你曾經聽說過這樣的騙局。對方說,你不信的話,我可以幫你轉接到「檢察院」,你自己來核實。
4、你表示呵呵:「你們轉接的電話,我怎麼知道是不是打到檢察院呢?」對方淡定地說:「沒關係,你可以掛掉電話,撥打110查詢一下。」
5、你將信將疑,掛斷電話並且撥打110,電話接通後,「警方」經過查詢,告訴你確!實!存在犯罪嫌疑,你開始方了。
在以上的「戲劇」中,電話那頭的人確實是騙子無疑。但是有一點你可能會百思不得姐,那就是:
為神馬撥打 110 報警電話,都會接通到騙子那裡?
為了解答這個秘密,安天AVL移動安全團隊「臥底」調查長達兩年時間。揭開了這類偽裝成「最高人民檢察院」應用的 Android 木馬病毒,並且發出了詳盡的報告:《病毒四度升級:安天AVL Team揭露一例跨期兩年的電信詐騙進化史》
小編()宅客頻道獲得安天AVL移動安全團隊授權,轉發報告全文如下:
自2014年9月起,安天AVL移動安全團隊持續檢測到一類基於Android移動平臺的間諜類病毒,病毒樣本大多偽裝成名為「最高人民檢察院」的應用。經過反編譯逆向分析以及長期的跟蹤調查,我們判斷這可能是一起有組織的電信詐騙犯罪活動。
2014年9月至今,某詐騙組織持續以涉嫌犯罪為由恐嚇受害者,並進行電信詐騙活動。整個詐騙流程大致如下:
攻擊者首先向受害者的手機發送含惡意應用下載連結的簡訊,這一步可能是藉由偽基站群發簡訊實現的;
攻擊者通常以獲取「案件號」、「單位代號」、「電子憑證」的簡訊誘騙受害者點擊連結,下載安裝惡意程序,最終獲取受害者手機的root權限;
惡意程序被成功安裝到受害者手機後,詐騙者會主動打電話給受害者,並聲稱將電話轉接至檢察院確認,但現在大部分人都對這類電信詐騙的防範意識較高,會拒絕對方的電話轉接;
此時,詐騙分子會主動要求受害者掛斷電話,並親自撥打110確認事件的真偽。當受害者將電話撥出後,安裝在受害人手機中的惡意程序將原本撥打給110的電話,劫持之後轉為撥打詐騙者的號碼,從而讓受害者信以為真,完全落入圈套。
通過AVL移動網際網路惡意程序檢測平臺捕獲數據可以看到,該類型病毒樣本首次出現在2014年9月。在此後兩年時間裡,又先後捕獲到4類包結構各不相同的病毒新變種樣本180餘個。這類病毒的感染者主要分布於我國浙江省和廣東省,福建、湖北、江西等地也有感染案例。
在該病毒不斷進化的進程中,攻擊者先後註冊了多個C&C伺服器,相關IP位址16個,伺服器分布在香港、新加坡、日本等5個以上的國家和地區。由此我們可以看到攻擊者通過不斷變換地點等手段來逃避偵查。
惡意行為詳情分析惡意行為實現流程示意圖
偽造電子憑證
當惡意應用被成功安裝並運行後,受害者手機會顯示一個偽造的最高人民檢察院發布的電子憑證,恐嚇受害者因涉嫌犯罪,而需要接受調查。此時,防範意識薄弱的受害者可能會直接相信對方。即便其他受害者具備足夠的防範意識,詐騙者依然有辦法逼其就範。那就是劫持受害者手機的報警電話,然後明確告訴受害者可以自行撥打110確認。
以下是偽造的最高人民檢察院發布的電子憑證樣例。從以下三張電子憑證樣例,我們可以看到檢察長的籤名都是根據現實情況不斷更新,說明攻擊者最大程度消除受害者對此電子憑證的懷疑,提高電信詐騙的成功率。
劫持報警電話
從以上代碼截圖可以看到,即使受害者是自行撥打的報警電話,電話那頭依然是詐騙者,從而使得受害者信以為真,最終落入攻擊者圈套,後果不堪設想。
上圖中詐騙分子劫持的目標號碼如下:
其中「021110」並非源碼中顯示的湖北省公安廳,而是上海市公安局。
竊取受害者隱私數據
作為整個電信詐騙鏈條上的重要一環,該病毒本質是一款間諜件。其功能不僅是顯示檢察院電子憑證以恐嚇欺騙受害者,還在後臺竊取用戶隱私數據並上傳至指定惡意伺服器,給受害者的個人利益帶來更大損害。
該病毒會開機自動運行,運行後自動生成用於顯示電子憑證的activity組件,同時在後臺啟動用於竊取用戶隱私數據的service組件。
該組件service組件首先創建一個名為phoneConfig.db的資料庫文件並將其初始化。該資料庫主要記錄呼出會話和當前配置信息兩項數據,其在庫中的索引分別為「phoneCall」和「config」。當資料庫數據需要更新時,程序會刪除舊錶並重新創建和初始化資料庫。該資料庫可以在/data/data對應應用包目錄下找到。具體的資料庫表內容如下圖所示。
當然,這遠不是該間諜應用要盜取的全部隱私數據。接下來,它會使出渾身解數獲取受害者設備上的各類數據,並將它們寫入JSON保存起來。
通過分析反編譯代碼,我們總結該病毒意圖盜取的數據種類如表1所示。
上傳受害者隱私數據
獲取到受害者的隱私數據後,下一步攻擊者會通過聯網將其上傳至伺服器。這一部分主要是在應用/lib/armeabi文件目錄下的libjpomelo.so動態庫文件中實現的。
該間諜件通過與遠程伺服器建立HTTP連接完成隱私數據上傳的行為。具體過程如下圖所示。
至此,隱私數據上傳完成,受害者手機隱私數據完全掌握在攻擊者手中。
病毒變種進化歷史
一、萌芽期(2014.9~2014.11)
· 更多的是一些嘗試性的攻擊
· 該階段存在兩類初代病毒樣本,均已具備劫持報警電話的惡意行為
· 作為間諜件竊取數據種類少,功能單一,基本不具備對抗性
二、平穩期(2015.3~2015.8)
· 主要功能仍是劫持報警電話
· 在其中一類初代病毒的基礎上做了初步對抗
· 增加竊取數據的種類
三、一次活躍期(2015.9~2016.2)
· 病毒感染量激增
· 犯罪分子新註冊多個海外伺服器域名
· 病毒新變種的對抗性大幅增強
四、二次活躍期(2016.11至今)
· 病毒感染量呈明顯上升趨勢
· 幾代變種的樣本均有發現,情況更為複雜
· 最新型的病毒變種對抗性再次增強
第一階段:萌芽期(2014.9~2014.11)
在電信詐騙的萌芽期同時活躍著兩種類型的病毒變種,它們都具有劫持電話號碼以及竊取用戶個人數據的行為。其區別在於攻擊受害用戶設備後獲取隱私數據的手段不同。
第一種類型:
以樣本7692A28896181845219DB5089CFBEC4D為例,該變種主要竊取用戶的簡訊數據。它會設置接收器專門用於監聽收到新消息的事件,一旦有來信則立即獲取其發信方電話號碼以及簡訊內容,並轉發至指定號碼。
第二種類型:
以樣本4AD7843644D8731F51A8AC2F24A45CB4為例,該變種的竊取對象不再局限於簡訊,而是拓展至被攻擊設備的固件信息、通訊運營商信息等。另外該變種還會檢視設備的響鈴模式並私自將其調為靜音。
就竊取受害用戶隱私數據的手段以及竊取的數據種類而言,第二類變種是後續階段其他病毒變種的元祖。
綜合這一階段的病毒樣本,我們發現,不論採用哪種方式獲取來自受攻擊設備的信息,其對抗性都較弱,對一些容易暴露自己的數據基本沒有保護。比如我們從中挖掘到的一些簡訊轉發地址以及遠程伺服器IP位址和埠號等信息,都是直接以明文形式硬編碼在程序中的,很容易被反編譯逆向分析,也難逃手機安全軟體的查殺。
第二階段:平穩期(2015.3~2015.8)
該階段是詐騙的平穩期,或者也可以稱為低潮期。這一階段的攻擊表現得不是很活躍。可以理解為詐騙分子的攻擊欲望有所衰減,或是蓄勢發起新一輪攻擊。總體而言,病毒量明顯減少。
至於階段樣本中存在的一些新變種,多是在萌芽期第二種類型病毒變種的基礎上進行結構形態上的改變,同時採用了代碼混淆技術,做了初步的對抗。但其在具體功能上幾乎沒有發生任何改變。
第三階段:一次活躍期(2015.9~2016.2)
這一階段與上一階段有著明顯的分界線。2015年9月1日,手機卡實名制的法規正式開始施行。手機號碼與個人身份證綁定,這就意味著攻擊者難以再通過簡訊轉發的手段獲取受害者的隱私數據,因為攻擊者手機號的暴露極大地增加了攻擊者被追蹤到的風險。
因此,2015年10月以後捕獲到的病毒新變種中,簡訊轉發用到的手機號碼以及一些指定的簡訊內容不再直接出現於程序代碼中,而是通過聯網從遠程伺服器端下載並解析獲取。
從病毒功能上看,該階段與上一階段沒有太大變化,仍是以劫持電話號碼及竊取用戶隱私數據為主。
但是攻擊範圍在本階段達到了前所未有的高峰。一方面,病毒的感染量激增,病毒樣本層出不窮;另一方面,之前惡意伺服器幾乎都設置在香港,這一階段陸續出現了韓國、新加坡、日本等新的地點。我們可以推測這是攻擊者在為更大規模的電信詐騙做準備,同時更好地隱匿自身蹤跡,逃避偵查。這次攻擊高峰直至次年2月才逐漸平息。
第四階段:二次活躍期(2016.11至今)
第一次活躍期過後,詐騙犯罪活動又歷經了半年多的平穩期。在這期間,病毒樣本數量雖有明顯減少,但仍可持續捕獲。病毒樣本功能未發生較大變化。
直到今年11月上旬,該病毒攻擊再次進入活躍期。從新一輪攻擊中捕獲到的樣本來看,該病毒一部分沿用了上一階段的變種,有些加入了新的對抗機制。另一部分則採用了新型變種,將竊取數據上傳伺服器的功能實現從Java層轉移至SO動態連結庫,攻擊所需的資料更多是通過從遠程伺服器下載獲取。攻擊的危險性與不確定性都有所增強,同時也進一步增加了安全檢測和逆向分析的難度。
從本階段的攻擊規模來看,僅11月8日至13日不到一周的時間裡,我們就捕獲到了35個病毒樣本。
截至11月13日,該病毒樣本日均捕獲量近6個,詐騙活動仍在持續。
遠程伺服器IP溯源
對遠程伺服器進行溯源分析,我們可以發現伺服器大多分布在香港,並在後期擴散至韓國、日本、美國等國家和地區。通過將獲取到的IP位址在WHOIS和VT等第三方數據源進行信息反查,得到如下表所示的結果。特別地,這些歸屬地只是詐騙分子利用的伺服器所在地。
註:表中數據來自相關IP在whois.net及virustotal.com的查詢結果
總結
通過對該病毒的詳細分析,我們發現該病毒迄今已使用了6種不同形態的木馬。除去最開始可能用作測試的一種,其它的按照結構、功能等指標大致可以分為四代。早期的木馬基本不具備對抗行為,包括簡訊轉發地址的電話號碼和隱私數據上傳的伺服器IP等皆明文硬編碼在程序中,較容易被分析追蹤和查殺。到2015年9月1日,手機卡實名制正式開始實施,這意味著攻擊者信息更容易被偵查。
就在同年10月,病毒新變種開始採取混淆等對抗手段隱藏攻擊者信息,簡訊發送地址及簡訊內容等數據也轉而通過從伺服器下載獲取。到2016年11月,病毒將竊取數據上傳伺服器的功能實現部分從Java層轉移至SO動態連結庫,攻擊所需的資料更多是從遠程伺服器下載獲取,攻擊的危險性與不確定性都有所增強,在一定程度上增加了安全監測和逆向分析的難度。綜合來看,該電信詐騙持續的周期較長(持續2年以上),攻擊手段不斷變換。我們可以推斷犯罪分子可能為混跡在港臺地區的詐騙組織,具有高度的組織化,其詐騙行為極端惡劣,需要引起足夠重視。
另外,縱觀至今的詐騙活動周期,高峰往往起始於每年年末(9~11月)並結束於次年年初(2月左右),說明年終歲末通常是電信詐騙的高發期。時值年關,廣大手機用戶務必當心,謹防受騙。
安全建議
針對這類惡意應用, AVL移動反病毒引擎合作方產品已經實現全面查殺。安天移動安全團隊提醒您:
謹慎點擊簡訊中附帶的連結;
增強主動防範意識,不要輕信此類電信詐騙信息。如需查證,請儘量採用多種渠道進行確認,比如使用其他手機撥打電話確認等;
不要在任何場合隨意洩露自身隱私信息,注重自身隱私保護;
建議在手機中至少安裝一款殺毒軟體,同時保持定期掃描的習慣。
P.S.本文頭圖是曾經遭遇過電信詐騙的湯唯。
安天移動安全公司:
安天移動安全成立於2010年,是安天實驗室旗下專注於移動網際網路安全技術和安全產品研發的公司。安天移動安全公司核心產品體系為AVL Inside移動反病毒引擎和AVL Insight移動威脅情報平臺。
AVL Inside曾以年度最高平均檢出率榮獲國際權威測評機構AV-TEST頒發的「行動裝置最佳防護」獎項,這是亞洲安全廠商首次獲此殊榮。AVL Insight是國內首個移動威脅情報大數據平臺,主要用於呈現移動威脅的高價值情報信息,通過對移動威脅的全面感知能力和快速分析響應能力,提供對抗移動威脅的預警和處置策略。
目前安天移動安全公司已與OPPO、VIVO、小米MIUI、阿里雲YunOS、金立、步步高、努比亞、樂視、獵豹、LBE安全大師、安卓清理大師、AMC等國內外50多家知名廠商建立合作,為全球6億終端用戶保駕護航。