2017第一季度安卓簡訊扣費木馬研究:七成扣費木馬擅長以」用戶的名義」騙取話費
一、摘要
1.1 話費作為的最便捷的支付,比較適合「悶聲發大財」。
隱藏在話費背後的SP服務可以很方便的幫助不懷好意的人將用戶話費放到自己的口袋,少則扣費幾十元,多則可能消費幾百元積少成多累計起來也是暴力。比如前段時間首起惡意扣費軟體案影響設備數600萬台,非法獲利6726餘萬元。
1.2 簡訊扣費類木馬分為兩大流派。
勢力最大的一派以暗扣類遊戲為主(佔據市場份額最大),它們深諳用戶用戶心理,利用用戶操作習慣,設置陷阱誘騙用戶點擊通過訂閱SP服務進行變現。另外一派則以後台無圖標應用為主,通過ROOT惡意木馬,ROM預裝等方式偷偷潛伏進去用戶設備,後台自動發送SP扣費簡訊進行變現。
1.3 從SP扣費信息來源看,分成本地硬編碼和雲端平台獲取兩種。
本地硬編碼含有幾個或者幾十個扣費通道,雲端平台是一種無窮無盡的扣費通道,SP不死就可以持續扣費,目前主流的簡訊扣費以雲端獲取為主,木馬通常還自帶清理現場的功能。
1.4 從產業鏈上看,SP代理商,流量商,以及開發者是產業鏈中的主要角色。
開發者從SP代理商獲取到SP扣費信息植入到應用中,然後從流量商手中購買流量將惡意應用安裝到用戶手機,最終通過訂閱各類SP服務變現。
1.5 簡訊扣費木馬的主要傳播渠道主要有五種。
從傳播渠道看,主要有遊戲破解網站、軟體下載站、廣告聯盟、部分應用市場以及一些地下黑流量推廣(比如通過色情播放器傳播)。
1.6 從攔截的簡訊扣費木馬的家族看,有能力大規模傳播的還是少數。
目前騰訊反詐騙實驗室通過海量樣本分析發現,簡訊扣費木馬主要包含有以下病毒家族:
二、背景
2.1 用戶安裝盜版或者修改版遊戲被惡意扣費
2.2 首起惡意扣費軟體案涉案金額6700萬元
2.3 話費支付的正確打開方式和惡意實現
三、簡訊扣費木馬影響面
3.1 用戶感染趨勢變化
3.1.1 今年1月份開始感染用戶開始飆升,並且逐步處於穩步微增的
3.1.2 從感染區域分布看,從大到小排序 廣東,四川,河南,湖南,江蘇,貴州,廣西等
3.1.3 簡訊扣費木馬變化趨勢
從收集樣本數看,簡訊扣費木馬樣本數處於增長趨勢,4月份尚未過半,樣本收集量已經接近3月份的總量。
3.2 扣費惡意代碼寄生的應用類型
(1) 剛需色情,用戶主動下載或被推廣安裝
(2) 娛樂遊戲,用戶主動下載或推廣安裝
(3) 無圖標或者偽裝系統應用,通過惡意推廣或ROM內置
3.3 主要傳播渠道
(1) 惡意廣告推廣:用戶訪問小說、視頻網站彈出的惡意廣告。
(2) 應用市場:這些應用市場對於應用的安全性要求較低,惡意應用很容易就可以上架傳播。
(3) 軟體或遊戲下載站:提供各種破解,修改版應用下載,存在一些誘導下載廣告位或惡意應用下載。
(4) 暗流量:已經潛伏在用戶電腦內的惡意應用,通過彈窗,誘導提示或者靜默自動推廣。
(5) ROM內置:通過與一些山寨機合作直接植入到ROM內,或在終端出廠後在銷售環節植入。
3.4 傳播四步驟
* 木馬作者通過SP代理商獲取獲得扣費通道。
* 木馬作者將惡意扣費代碼封裝到惡意應用。
* 木馬作者購買流量,通過各種渠道將惡意應用推廣安裝到用戶手機。
* 用戶手機中招,通過SP訂閱服務,木馬作者牟利,各方按照協議進行分成皆大歡喜.。
四 流行簡訊扣費木馬家族
4.1 簡訊扣費五大家族
4.2 各家族的技術點對比
4.3 遊戲土匪
此類型是目前最常見的類型,影響面也是最廣的。通常手段是重打包其他遊戲,植入扣費項目,在用戶遊戲過程中頻繁彈出誘導性彈框,經常使用「禮包」,「領取」,」免費」,」優惠」等字眼誘導用戶點擊,並故意弱化收費提示,讓用戶誤以為可以免費領取,用戶點擊後將通過話費購買道具。
此類型木馬因為來錢快屬於暴利行業,為了提升扣費的用戶體驗以及對抗檢測一直處於攻防對抗中,扣費信息從一開始本地硬編碼,到如今普遍通過雲端控制下發;扣費彈框的提示逐漸弱化扣費提示信息,以誘騙更多的用戶點擊。
【弱化提示】:扣費提示人眼可見,但是可以放在用戶不容易注意的地方。
【背景色隱藏】:將扣費隱藏在淺色背景中,刻意突出遊戲按鈕。
【遊戲過程中扣費提示】:用戶玩的如痴如醉,腦袋犯渾的時候,要不要扣個費玩玩?
【遊戲過程中道具】:要想變得更強,裝備當然得升級下,當然變強的機會你需要你的手機話費充足。
【進擊的用戶體驗】:用戶越來越小心,收入下降了怎麼辦,於是小夥伴的眼睛就變瞎了T_T
4.4 梵偷
4.4.1 家族簡述
該家族通常偽裝成色情軟體誘騙用戶下載安裝,同時它也會有一切其它惡意程序合作通過ROOT等強制安裝方式將無圖標的扣費木馬強制安裝到用戶設備,安裝成功了通過雲端獲取SP扣費信息,伺機竊取用戶的話費。常見軟體名有魅影視頻,美女看看,禁播視頻,禁片大全,無碼神播。
4.4.2 技術點分析
(1) 從雲端通過介面獲取扣費信息,如扣費簡訊信息,包括目標號碼,發送內容,發送間隔,攔截確認簡訊的關鍵詞等信息。
解碼後得出下列url:
http://139.196.36.***:8123/alp***/servlet/GetFeeInfo
http://139.196.36.***:8123/alp***/servlet/ADGetWapCfg
http://139.196.36.***:8123/alp***/servlet/GetWapUpload
(2) 啟動後,啟動activity調用方法檢測app狀態。
(3) 寫入配置信息。
配置文件filter.data的信息。
Filter.data的部分內容如下:
(4) 接收不同action執行不同的操作。
(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust後獲取扣費信息。
(6) 抓包抓到從pay/servlet/ADGetWapCfg返回簡訊扣費的信息,如下:
(7) 讀取並解析從網路端返回的數據。
(8) 解析數據後將扣費簡訊信息傳送到SyncaService,設置渠道id並發送扣費簡訊。
(9) 監聽接收簡訊廣播,與Filter.data中的關鍵字內容進行比較,判斷是否進行攔截及獲取須回復的確認簡訊內容。
從Filter.data文件中cnfinfo_rule欄位獲取確認簡訊內容,並發送確認簡訊。
4.4.3 家族溯源信息
通過木馬獲取扣費信息的伺服器域名進行溯源。
此人曾收sp業務殼,具有很大嫌疑。
4.5 雲偷
該家族偽裝成色情播放器或系統應用進行傳播,通過色情誘導下載或者惡意病毒安裝到用戶設備上,成功安裝後將通過雲端獲取SP扣費信息,竊取用戶話費.同時該家族還存在私自下載推廣其它應用的行為.
4.5.1 病毒運行流程
4.5.2 技術點分析
(1) 樣本啟動後初始化信息
(2) Com.ks.bjt.a.g載入assets/kx調用com.kx.c.KXU
(3) Com.ks.bjt.a.g的a()到o()別對應com.rt.m.Mh.KXU中的a()到o()方法,分別進行獲取廣告資源,私自下載其他軟體,私自發送簡訊,創建桌面快捷方式,檢測手機運營商信息等操作;
(4) com.rt.m.Mh.KXU中各個方法對應的行為
(5) o(Context)方法調用excHqSPs方法從伺服器獲取扣費簡訊信息。
從伺服器http://ldjk.t***oft.com/sp/getSPCode獲取扣費簡訊信息。
從網路端返回的扣費簡訊信息,包括運營商,號碼,信息內容,攔截簡訊關鍵詞,地區等信息:
調用isCheckDay方法對比pre_file_name文件中的值是否過時。
pre_file_name文件內容:
調用saveSp方法,創建資料庫sm.db,並把從網路端獲取的數據經過篩選後保存進資料庫。
資料庫sm.db的內容:
(6) e(Context)方法 調用doSm(context)方法讀取資料庫中的扣費簡訊信息並發送簡訊。
攔截包含關鍵詞的簡訊。
4.6 笨偷
此家族主要偽裝成系統應用,並且主要通過其它惡意程序進行傳播,病毒成功安裝後即向本地配置的SP號碼發送扣費信息,導致用戶話費被竊取。
該木馬啟動後通過onCreat方法中判斷手機網路的標識號,根據其標識號發送對應的扣費簡訊內容到對應的號碼,簡訊發送後彈出「程序錯誤」的信息。同時成功發送扣費信息後將隱藏圖標避免用戶發現。
4.7 截偷
主要偽裝成遊戲或者工具類應用進行傳播,該木馬在本地配置了一些固定的SP扣費信息,木馬成功安裝後將根據運營商發送特定的SP扣費簡訊,伺機竊取用戶話費,扣費完成後會刪除相關的扣費簡訊避免用戶發現異常。
(1) 軟體啟動後啟動服務MainService和 ForListen。
(2) MainService判斷手機運營商類型,分別調用Sms1,Sms2,Sms3私自發送簡訊。
方法Sms1():
方法Sms2():
方法Sms3():
(3) 廣播接收器Forboot攔截指定簡訊。
(4) 刪除用戶手機簡訊記錄中的指定號碼記錄。
五 清理方案
使用騰訊手機管家卸載病毒即可清除,部分安裝到手機系統的木馬需要授予root許可權。
六 安全建議
6.1 檢查每個應用程序的許可權
:安裝一個Android應用程序時,需要先確認程序所申請的許可權,警惕簡訊相關的許可權申請,一些手機廠商內置有許可權管理軟體,建議禁用非正規軟體的簡訊許可權以減少風險。6.2 安裝安全軟體並保持更新
: 安裝騰訊手機管家之類的安全軟體,可以及時發現木馬病毒並幫助清除 。6.3 從正規應用程序商店下載軟體
:Android應用市場魚龍混雜,許多不正規的應用市場上線軟體時並未經過安全檢測,因此存在許多安全隱患,不要在小網站下載破解,修改版程序以減少風險 。6.4 從正規渠道購買手機
: 建議用戶在購買新手機時應盡量選擇大型正規賣場,避免手機系統被裝入惡意預裝軟體。6.5 養成產看賬單詳情的習慣
: 建議用戶在賬單日及時查看消費詳情的,及時發現可疑的扣費信息。* 本文作者:騰訊手機管家(企業帳號),轉載請註明來自FreeBuf.COM
TAG:FreeBuf |
※2017年度安全報告:挖礦木馬或成2018年網路犯罪主流
※山東青州批捕9人,因利用木馬「挖礦」非法獲利約1500萬元
※生肖馬, 2002年馬, 1942年馬, 楊柳木命, 為木馬, 木火通明
※2019年「木馬燙」髮型火了!
※女子為辦80萬高額信用卡預存50萬 中木馬程序全部被騙子轉走
※360手機安全報告:2013年至2018年1月,共捕獲Android平台挖礦木馬1200餘個
※2018流行「木馬卷」25款,怎麼看都很美
※挖礦木馬鏖戰記:1月發現的安卓挖礦病毒多達400個
※廣告短鏈接暗藏挖礦木馬 全球超1500萬電腦淪為「礦機」
※挖礦木馬成Q1季度安全熱詞 數據泄露影響千萬用戶
※CIA絕密文件泄露:5000名黑客研發木馬程序,中俄莫名背鍋
※知名軟體變「木馬」:2小時感染10萬電腦
※190421 王源再次被誇可愛 小小的木馬有大大的魔力
※吃雞「外掛」藏木馬 一天20萬電腦中毒
※博覽安全圈:50款常用軟體植入木馬程序
※2019年「木馬燙」髮型火了,換上了讓你顏值飆升!
※摩的版「滴滴」無憂幫幫獲2500萬元融資,木馬資本獨投
※2018最最火爆的燙髮髮型《木馬卷》
※報告顯示:挖礦木馬成為2018年影響面最廣的惡意程序
※「挖礦木馬」分析報告:每天產值達三萬美元