概述
近期暗影实验室在日常监测中,发现一批针对中国、越南、马来西亚、美国等国用户的钓鱼软件。该类软件并不是第一次出现,如今出现了新变种。暗影安全实验室在去年10月份发表过一篇报告反诈骗之旅-仿冒公安政务中对该诈骗类软件进行了披露。
该恶意软件冒充越南公安、马来西亚银行、美国***、安全防护等相关应用程序名称诱骗用户安装使用。通过仿冒的钓鱼页面,诱骗用户填写相关的个人***、***账户密码等信息以转走用户***资金。除此之外,该类恶意程序还会窃取用户通讯录、通话记录、短信等个人隐私信息,并具有监听用户电话状态、监听用户短信、拨打电话、删除发送短信等功能。
图1-1恶意样本图标
1. 钓鱼攻击
1.1 针对国内钓鱼攻击
该类APP在国内主要通过冒充“Visa”与“安全防护”应用程序名进行传播。
VISA又译为维萨,是美国一个信用卡品牌。Visa作为一个全球性的支付平台,覆盖全世界200多个国家和地区。同样在中国Visa也具有大量用户群体。
图2-1 Visa中国官网
该恶意程序主要通过仿冒抽奖、中奖等钓鱼页面,诱骗用户填写姓名、卡号、电话号码等敏感信息。
图2-2 “Visa”钓鱼页面
冒充“安全防护”应用程序名称。该恶意程序提供网上银行卡安全认证功能以及文号查询功能,通过网上银行卡安全认证钓鱼页面窃取用户银行卡号、手机号、交易密码等信息。
图2-3 “安全防护”钓鱼页面
1.2 针对马来西亚钓鱼攻击
冒充马来西亚国家银行应用程序进行钓鱼攻击。马来西亚国家银行是由马来西亚政府设立及拥有,其主要目的不在营利,而是管制与监督全国的银行与金融活动。
图2-4 马来西亚国家银行官网
通过钓鱼攻击页面诱导用户填写账户信息。
图2-5 钓鱼页面
1.3针对越南钓鱼攻击
冒充越南公安部应用程序进行钓鱼攻击。
图2-6 越南公安部官网
通过钓鱼页面诱导用户填写账户信息。
图2-7 钓鱼页面
2. 样本分析
我们监测到的这批恶意程序文件结构及代码基本相同。但每个恶意程序具有不同的服务器地址。
图3-1 代码结构
程序启动会加载钓鱼页面并启动恶意服务。
图3-2 加载钓鱼页面
2.1 窃取隐私数据
应用加载完仿冒页面后便开始收集并上传用户隐私数据。
(1)收集并上传用户收件箱短信信息,包括发送失败和已发送的短信息。
图3-3收集短信收件箱信息
图3-4上传获取的用户短信信息
(2)收集上传用户通话记录信息,并标记通话记录状态。
图3-5收集通话记录信息
图3-6上传的用户通讯录信息
(3)收集并上传用户联系人信息。
图3-7收集用户联系人信息
图3-8上传用户联系人信息
与服务器交互上传获取的用户信息。
图3-9与服务器交互
2.1 远程控制
程序的远控是通过消息机制实现的。从服务器获取指令并解析,然后通过Message.setData()传递从指令中解析出的数据、设置Message.what来指定消息类型。
服务器地址:http://213.***.36.42:4201/app/input.php。
图3-10解析指令并使用消息机制执行
图3-11服务器下发指令
远控指令:
一级指令 | 二级指令 | 三级指令 | 传递的值 | 功能 |
---|---|---|---|---|
testjson3 | J_PhoneState | 1 | J_PhoneNo | 拨打指定电话号码 |
2 | J_PhoneNo | 挂断电话 | ||
actlist | J_PhoneNo | MsgContentTargetMTELOrderNO | 发送指定内容短信 | |
callcontacts | Status | 新增 | SnStatuscontactIDPhoneName | 向联系人数据库插入数据 |
修改 | 更新联系人数据库数据 | |||
删除 | 删除联系人数据库数据 | |||
testjson | showyn | 3 | J_Id | 删除id为指定值的短信 |
应用将自身注册为默认短信程序,监听用户接收的短信息。这样能即时获取到用户短信验证码信息。短信验证码作为第二验证因素被广泛用于身份验证中。
图3-12 监听用户短信
删除指定短信。应用场景为诈骗犯在转走用户银行卡资金后为了避免用户发现从而删除短信提示信息。
图3-13 删除指定短信
3. 扩展分析
通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款该恶意程序应用。这批恶意程序代码结构、包名、签名都相同。说明这批恶意程序出自同一制作者。猜测这可能是某诈骗集团实施诈骗的工具。
图4-1 其它样本信息
部分样本信息:
安装名称 | 包名 | MD5 |
---|---|---|
sgb | com.loan.test1 | f61a8f344742f254515459e91642474b |
nbm | com.loan.test1 | 4a6096174b06124b51e1c08723827d65 |
safe | com.loan.test1 | ef3619529b507c53bd701a9207b40550 |
安全防护 | com.loan.test1 | d3e6d96af2a3bbdc053241fd66ed0cf1 |
vnapp | com.loan.test1 | baf4a416e531f25b9fb917d3629f157d |
Visa Master | com.loan.test1 | 5bc922612ef826f95d5cf46697292b82 |
aeon | com.loan.test1 | 54e5080dffbfd807eeefb4dfb20fabdc |
bnm | com.loan.test1 | d653129352a69917808d6b00c3dedaa9 |
vn84 | com.loan.test1 | 806276355682cf281b5a1598e0d1d88b |
总结
这批恶意程序在去年10月份的时候就已经出现,经过更新迭代重新被投入网络中进行使用。由于这批恶意程序具有相似的文件结构和代码且签名信息相同由同一组织打包而成,所以我们猜测这批恶意程序可能是某黑客组织实施跨国诈骗的工具。用户应提高自身防诈骗意识,多补充网络安全知识。不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。
恒安嘉新(北京)科技股份公司是具有“云—网—边—端”整体解决方案的通信网安全领军企业,专注于网络空间安全综合治理领域,主营业务是向电信运营商、安全主管部门等政企客户提供基于互联网和通信网的网络信息安全综合解决方案及服务。
“没有网络安全就没有国家安全。”网络空间是国家**的新疆域,网络空间安全事关国家安全和国家发展,是把我国建设成为网络强国的有力保障。基于安全与业务的伴生性以及威胁的复杂性,政府、电信、金融、能源等领域对于网络空间安全综合治理产品均存在广泛而迫切的需求。为此,公司自主研发了具有网络空间安全监测预警、威胁研判、追踪溯源、态势感知和应急处置等能力的产品,可用于构建支撑全天候全方位的网络空间安全态势感知和防御体系。
公司是国家高新技术企业,以“支持国家、服务社会、助力行业、合作共赢”为经营理念,矢志成为网络空间安全基础能力的搭建者和网络空间安全生态的引领者。凭借多年的技术和经验积累、卓越的产品和服务质量以及良好的品牌形象和业界口碑,公司产品广泛布局在除港澳台外全国 31 个省、自治区和直辖市,为安全主管部门和电信运营商监测核心网、骨干网、城域网近 2,000 个核心网络节点。基于采集点的广泛布局和安全技术的长期积累,公司的网络安全数据采集和分析效率位居行业前列,公司为电信运营商和安全主管部门提供的网络安全数据实时分析能力超过 300Tbps。
公司连续五届入选 CNCERT “网络安全应急服务支撑单位(国家级)”,并为“十九大”、“两会”、G20 杭州峰会、世界互联网大会、“一带一路”峰会、上合峰会、金砖国家领导人峰会、中国国际进口博览会等提供国家级网络安全保障服务;同时,根据 CNCERT 于 2018 年 6 月发布的考核结果,公司是仅有两家考核等级为优的国家级支撑单位之一。此外,公司也是“国家网络与信息安全信息通报机制技术支持单位”、“工业信息安全应急服务支撑单位”,参与建设了“计算机病毒防御技术国家工程实验室研究室”和“计算机病毒防治技术国家工程实验室”,在网络空间安全领域拥有突出的行业公信力和品牌影响力。
公司高度重视自主研发能力的培育和建设,并围绕互联网和通信网一体化的海量数据实时处理技术、具有深度学习能力的智能安全引擎技术 、“云—网—边—端”综合管控技术等三大核心技术,构建了自主可控的知识产权体系和产品体系。截至 2019 年 3 月,公司共申请发明专利 46 项,其中 6 项已取得专利权(含1项美国专利);拥有计算机软件著作权 58 项和作品著作权 2 项;参与制定多项国家、行业、团体标准,其中 15 项行业标准已完成发布。