freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

虚假“短信通道商”黑产活动
2019-10-14 10:10:33

目录

一、背景 1

二、虚假短信通道的实现原理 2

三、虚假短信通道诈骗图 3

四、恶意APP传播方式 4

五、虚假短信通道技术分析 5

六、虚假短信通道溯源 9

七、该类手法APP发展趋势预测 12

八、总结: 12

IOCs: 12

 

一、

短信营销已经变成线上推广的必备武器,短信营销有其独特的优势,短信营销范围没有地域范围限制,传送方便,并且可以针对不同的用户进行不同产品的推广,避免资源浪费,短信营销也更直接,相比线上广告,客户对短信营销的厌恶感较低,而且能在最短的时间,将信息传播出去,提升了营销效率。然而,如果一家企业采用短信营销的方式,免不了要与短信通道商进行接触。

短信通道指的是由中国移动、联通、电信等运营商直接提供的短信发送接口,从而实现与目标号码进行大批量短信发送的通道。国内的短信通道主要以中国移动为主,目前占据65%--70%的市场份额。

短信通道分为:106通道、电信虚拟短信通道:电话区号(类似021)的、1069三网合一企业实名制通道。

三网合一可以群发三网的手机短信(移动、联通、电信),一般针对企业使用,通道商对企业进行实名制登记备案,可以通过短信通道向指定的号码发送验证码、活动、宣传、祝福等营销短信。在正规的短信通道发短信需要付费,发短信时通道代理商也会遵守相关法律法规,审核企业所属行业及提交的短信内容是否为敏感内容。

 

目前发送正规内容短信的价格据了解,验证码在0.05元一条,营销短信大约在0.06~0.1元钱一条。按行业不同,一般通道商一次接受短信发送量最低10000条起。

 

二、假短信通道的实现

由于短信通道对贷款、电商、黑五类等敏感内容审核严格,需要各种资质登记备案,这种趋势会持续延续下去,在此情形下,敏感行业需要寻求其它推广渠道。黑客推广在推广行业是一种隐秘的存在,他们宣称能推广任意内容的短信,包括贷款、黑五类等内容。

图片.png

1:宣称能推广意内容务人员

 

奇安信安全分析团队在工作中,发现了一种黑客的新型变现方式,该变现方式实现了黑客宣称的“能发送任意内容的营销短信“,黑客通过用户手机构建的僵尸网络,冒充“短信通道商”向广告主骗取短信营销费用,用户手机被控制,莫名奇妙收到很多“广告短信”。

图片.png

图2:收到的广告“营销短信

 

三、虚假短信通道

图片.png

图3:虚假短信通道诈骗图

 

 

四、恶意APP播方式

我们发现该类行为的APP均是通过色情软件的形式诱导用户安装,根据包名和签名信息可以看出,属机器自动修改生成,通过高强度混淆来对抗传统安全软件的查杀。

图片.png4:恶APP的图标

 

通过恶意APP出现的时间判断,该类型APP还在不断更新,时间跨度在一年,可以断定,该虚假短信通道已运营一年之久。

图片.png

图5:APP爆发时

 

虚假短信通道术分析

在对该APP进一步分析中,我们发现该APP通常以一个独立的包存在,以独立包存在的好处是方便通过重打包的方式插入其它应用中,更有利于批量制作恶意APP。

图片.png6:实现虚假短信通道的恶意包

 

首先恶意包会加载一个so文件,所有功能均在该so中,该文件目前大部分安全软件均未报毒。

图片.png

7:各家杀软不报毒

  图片.png

图8:加载恶意so

 

该恶意包与远程服务器建立内容传输通道,与远程服务器持续建立链接,感染越多则会构成手机僵尸网络。

图片.png

9:与远程服务器建立连接 

 

 图片.png

10:持续与远程服务器通讯,随时接内容

 

通过反射调用Java代码,向短信数据库中插入远程服务器下发的违规内容,该方法可能使一些垃圾短信拦截软件失效。

图片.png

11:往手机入短信实现短信到达用户手机

 

经过奇安信安全分析团队监测发现该APP插入的违规内容短信如下:

图片.png

12:远程服务器发的短信 

 

六、虚假短信通道溯源

该APP推广的方式包含常见的强制弹框推广,并推广保健类产品。

图片.png13:恶意APP推广流量图

图片.png14:APP广的保健类产品 

 

图片.png

15:推广保健类产品的APP推广

 

七、该类手法APP发展趋势预测

经奇安信安全分析团队研究发现,凡是这种用到本地数据库并且加密强度不高的情况,并且用来存储的第三方即时通讯软件、社交软件聊天记录的APP均会受此手法攻击,目的是增加发送的“短信”曝光率、点击率。

 

八、总结:

目前来看,市面上使用该方法骗取广告主营销费用的案例并不多,经过测试,我们发现,使用本地数据库作为存储的均存在被恶意添加内容的风险,奇安信安全分析团队在此提醒,对本地数据库存储的信息有较高安全性要求的APP,加入校验逻辑,校验一致性可降低被攻击的风险,同时提醒企业短信营销人员,在寻找短信通道商时,仔细甄别资质,详细测试短信相关数据,以免被骗。奇安信病毒响应中心,将持续对最新的恶意安卓APK攻击活动进行及时分析与更新,目前奇安信全系产品均可对此攻击活动进行报警。

 

IOCs:

e.angshuwl.com

d.angshuwl.com

# 黑产 # 短信通道商
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者