freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

反诈骗之旅:诈骗软件又现新变种
2020-05-23 09:00:13

近期暗影实验室在日常监测中,发现一批针对中国、越南、马来西亚、美国等国用户的钓鱼软件。该类软件并不是第一次出现,如今出现了新变种。暗影安全实验室在去年11月份发表过一篇报告《反诈骗之旅-仿冒公安政务》中对该诈骗类软件进行了披露。

该恶意软件冒充越南公安、马来西亚银行、美国***、安全防护等相关应用程序名称诱骗用户安装使用。通过仿冒的钓鱼页面,诱骗用户填写相关的个人***、***账户密码等信息以转走用户***资金。除此之外,该类恶意程序还会窃取用户通讯录、通话记录、短信等个人隐私信息,并具有监听用户电话状态、监听用户短信、拨打电话、删除发送短信等功能。

图1-1恶意样本图标

一、钓鱼攻击

1.1针对国内钓鱼攻击

该类APP在国内主要通过冒充“Visa”与“安全防护”应用程序名进行传

VISA又译为维萨,是美国一个***品牌。Visa作为一个全球性的支付平台,覆盖全世界200多个国家和地区。同样在中国Visa也具有大量用户群体。

图2-1 Visa中国官网

该恶意程序主要通过仿冒抽奖、中奖等钓鱼页面,诱骗用户填写姓名、卡号、电话号码等敏感信息。

图2-2“Visa”钓鱼页面

冒充“安全防护”应用程序名称。该恶意程序提供网上***安全认证功能以及文号查询功能,通过网上***安全认证钓鱼页面窃取用户***号、手机号、交易密码等信息。

图2-3“安全防护”钓鱼页面

1.2针对马来西亚钓鱼攻击

冒充马来西亚国家银行应用程序进行钓鱼攻击。马来西亚国家银行是由马来西亚政府设立及拥有,其主要目的不在营利,而是管制与监督全国的银行与金融活动。

图2-4马来西亚国家银行官网

通过钓鱼攻击页面诱导用户填写账户信息。

图2-5钓鱼页面

1.3针对越南钓鱼攻击

冒充越南公安部应用程序进行钓鱼攻击。

图2-6 越南公安部官网

通过钓鱼页面诱导用户填写账户信息。

图2-7 钓鱼页面

二、样本分析

我们监测到的这批恶意程序文件结构及代码基本相同。但每个恶意程序具有不同的服务器地址。

图3-1代码结构

程序启动会加载钓鱼页面并启动恶意服务。

图3-2加载钓鱼页面

2.1窃取隐私数据

应用加载完仿冒页面后便开始收集并上传用户隐私数据。

(1)收集并上传用户收件箱短信信息,包括发送失败和已发送的短信息。

图3-3收集短信收件箱信息

图3-4上传获取的用户短信信息

(2)收集上传用户通话记录信息,并标记通话记录状态。

图3-5收集通话记录信息

图3-6上传的用户通讯录信息

(3)收集并上传用户联系人信息。

图3-7收集用户联系人信息

图3-8上传用户联系人信息

与服务器交互上传获取的用户信息。

图3-9与服务器交互

2.2远程控制

程序的远控部分是通过消息机制实现的。从服务器获取指令并解析,然后通过Message.setData()传递从指令中解析出的数据、设置Message.what来指定消息类型。

服务器地址:http://213.***.36.42:4201/app/input.php。

图3-10解析指令并使用消息机制执行

图3-11服务器下发指令

远控指令:

一级指令二级指令三级指令传递的值功能
testjson3J_PhoneState1J_PhoneNo拨打指定电话号码
2J_PhoneNo挂断电话
actlistJ_PhoneNo
MsgContentTargetMTELOrderNO发送指定内容短信
callcontactsStatus新增SnStatuscontactIDPhoneName向联系人数据库插入数据
修改更新联系人数据库数据
删除删除联系人数据库数据
testjsonshowyn3J_Id删除id为指定值的短信

应用将自身注册为默认短信程序,监听用户接收的短信息。这样能即时获取到用户短信验证码信息。短信验证码作为第二验证因素被广泛用于身份验证中。

图3-12监听用户短信

删除指定短信。应用场景为诈骗犯在转走用户***资金后为了避免用户发现从而删除短信提示信息。

图3-13删除指定短信

三、扩展分析

通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款该恶意程序应用。这批恶意程序代码结构、包名、签名都相同。说明这批恶意程序出自同一制作者。猜测这可能是某诈骗集团实施诈骗的工具。

图4-1其它样本信息

部分样本信息:

安装名称包名MD5
sgbcom.loan.test1     f61a8f344742f254515459e91642474b
nbmcom.loan.test1    4a6096174b06124b51e1c08723827d65
safecom.loan.test1    ef3619529***7c53bd701a9207b40550
安全防护com.loan.test1    d3e6d96af2a3bbdc053241fd66ed0cf1
vnappcom.loan.test1    baf4a416e531f25b9fb917d3629f157d
Visa Mastercom.loan.test1    5bc922612ef826f95d5cf46697292b82
aeoncom.loan.test1    54e5080dffbfd807eeefb4dfb20fabdc
bnmcom.loan.test1    d653129352a69917808d6b00c3dedaa9
vn84com.loan.test1    806276355682cf281b5a1598e0d1d88b

四、总结

这批恶意程序在去年10月份的时候就已经出现,经过更新迭代重新被投入网络中进行使用。由于这批恶意程序具有相似的文件结构与代码且签名信息相同由同一组织打包而成,所以我们猜测这批恶意程序可能是某黑客组织实施跨国诈骗的工具。用户应提高自身防诈骗意识,多补充网络安全知识。不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。

*本文作者:暗影安全实验室,转载请注明来自FreeBuf.COM

# 新变种 # 反诈骗 # 诈骗软件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者