freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

虚假“短信通道商”黑产活动
2019-10-22 10:00:35

一、背景

短信营销已经变成线上推广的必备武器,短信营销有其独特的优势,短信营销范围没有地域范围限制,传送方便,并且可以针对不同的用户进行不同产品的推广,避免资源浪费,短信营销也更直接,相比线上广告,客户对短信营销的厌恶感较低,而且能在最短的时间,将信息传播出去,提升了营销效率。然而,如果一家企业采用短信营销的方式,免不了要与短信通道商进行接触。

短信通道指的是由中国移动、联通、电信等运营商直接提供的短信发送接口,从而实现与目标号码进行大批量短信发送的通道。国内的短信通道主要以中国移动为主,目前占据65%--70%的市场份额。

短信通道分为:106通道、电信虚拟短信通道:电话区号(类似021)的、1069三网合一企业实名制通道。

三网合一可以群发三网的手机短信(移动、联通、电信),一般针对企业使用,通道商对企业进行实名制登记备案,可以通过短信通道向指定的号码发送验证码、活动、宣传、祝福等营销短信。在正规的短信通道发短信需要付费,发短信时通道代理商也会遵守相关法律法规,审核企业所属行业及提交的短信内容是否为敏感内容。

目前发送正规内容短信的价格据了解,验证码在0.05元一条,营销短信大约在0.06~0.1元钱一条。按行业不同,一般通道商一次接受短信发送量最低10000条起。

二、虚假短信通道的实现原理

由于短信通道对贷款、电商、黑五类等敏感内容审核严格,需要各种资质登记备案,这种趋势会持续延续下去,在此情形下,敏感行业需要寻求其它推广渠道。黑客推广在推广行业是一种隐秘的存在,他们宣称能推广任意内容的短信,包括贷款、黑五类等内容。

图1:宣称能推广任意内容业务人员

奇安信安全分析团队在工作中,发现了一种黑客的新型变现方式,该变现方式实现了黑客宣称的“能发送任意内容的营销短信“,黑客通过用户手机构建的僵尸网络,冒充“短信通道商”向广告主骗取短信营销费用,用户手机被控制,莫名奇妙收到很多“广告短信”。

图2:收到的广告“营销短信”

三、虚假短信通道诈骗图

图3:虚假短信通道诈骗图

四、恶意APP传播方式

我们发现该类行为的APP均是通过色情软件的形式诱导用户安装,根据包名和签名信息可以看出,属机器自动修改生成,通过高强度混淆来对抗传统安全软件的查杀。

图4:恶意APP的图标

通过恶意APP出现的时间判断,该类型APP还在不断更新,时间跨度在一年,可以断定,该虚假短信通道已运营一年之久。

图5:APP爆发时间

五、虚假短信通道技术分析

在对该APP进一步分析中,我们发现该APP通常以一个独立的包存在,以独立包存在的好处是方便通过重打包的方式插入其它应用中,更有利于批量制作恶意APP。

图6:实现虚假短信通道的恶意包

首先恶意包会加载一个so文件,所有功能均在该so中,该文件目前大部分安全软件均未报毒。

图7:各家杀软不报毒

图8:加载恶意so

该恶意包与远程服务器建立内容传输通道,与远程服务器持续建立链接,感染越多则会构成手机僵尸网络。

图9:与远程服务器建立连接

图10:持续与远程服务器通讯,随时接收内容

通过反射调用Java代码,向短信数据库中插入远程服务器下发的违规内容,该方法可能使一些垃圾短信拦截软件失效。

图11:往手机插入短信,实现短信到达用户手机

经过奇安信安全分析团队监测发现该APP插入的违规内容短信如下:

图12:远程服务器下发的短信

六、虚假短信通道溯源

该APP推广的方式包含常见的强制弹框推广,并推广保健类产品。

图13:恶意APP推广流量图

图14:APP推广的保健类产品

图15:推广保健类产品的APP推广公司

七、该类手法APP发展趋势预测

经奇安信安全分析团队研究发现,凡是这种用到本地数据库并且加密强度不高的情况,并且用来存储的第三方即时通讯软件、社交软件聊天记录的APP均会受此手法攻击,目的是增加发送的“短信”曝光率、点击率。

八、总结

目前来看,市面上使用该方法骗取广告主营销费用的案例并不多,经过测试,我们发现,使用本地数据库作为存储的均存在被恶意添加内容的风险,奇安信安全分析团队在此提醒,对本地数据库存储的信息有较高安全性要求的APP,加入校验逻辑,校验一致性可降低被攻击的风险,同时提醒企业短信营销人员,在寻找短信通道商时,仔细甄别资质,详细测试短信相关数据,以免被骗。奇安信病毒响应中心,将持续对最新的恶意安卓APK攻击活动进行及时分析与更新,目前奇安信全系产品均可对此攻击活动进行报警。

IOCs:

e.angshuwl.com

d.angshuwl.com

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

本文作者:, 转载请注明来自FreeBuf.COM

# 黑产活动 # 短信通道商 # 虚假短信通道
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑