暗影移动安全实验室在日常监测中,发现了一批冒充“公安部”、“网上安全认证”、“公安局智能警务系统”等应用程序名称的诈骗类APP,研究人员分析发现,这批诈骗APP的目的是窃取用户个人信息(身份证末尾4位、认证卡号、安全码、卡背后3位、交易密码、手机号码、通讯录、短信等),然后上传至VPS服务器,涉及类型多达33种,VPS服务器主要分布在英国、加拿大、新加坡、荷兰,该类恶意程序危害极高,影响极其恶劣。
图 1诈骗APP运行界面
诈骗团伙:你是XX吗?我是公安局的王警官,我们最近在调查一起跨国洗钱案件,发现你的账户疑似涉入其中
受 害 者:你们是不是搞错了…
诈骗团伙:不会有错的,你已经上通缉令了,你可以下载“公安局智能警务系统”查看,稍后通过短信发送与你
受 害 者:多谢警官,我一定好好配合
诈骗团伙:你现在“公安局智能警务系统”填写你的银行账户信息,需要对你的账户做冻结处理
受 害 者:好的,马上马上
几天过去了,王警官的电话再也没有响起过,小林也不断的收到银行的通知短信“您账户8888于10月23日12:00交易***200000.00”
基本信息样本MD5:2AEB5A0CFFCEDFE1395774C6DA65C225
安装名称:安全防护
样本包名:www.online157.com
运行原理程序启动后主要是引导用户输入查询文号,或者诱骗用户网银加密,实则是引导用户输入***相关信息(***号、***密码、预留手机号等),并且在用户未授权情况下获取用户手机联系人通讯录、通话记录、短信息以及必要的固件信息等,并将以上信息全部上传到指定服务器,该过程包含了用户直接输入的大量敏感信息以及私自窃取的用户信息,黑客可以通过以上信息登录用户网银并且盗刷或者转走用户的账户余额。
图2运行流程图
代码分析(1)获取用户通讯录、短信、通话记录直接上传
程序启动后判断是真机则直接获取用户固件信息、通讯录、通话记录、短信息并上传到指定服务器。
图3 启动后上传通话记录、通讯录、短信息
获取用户通话记录:
图4 获取通话记录
图5 上传通话记录数据包
获取用户通讯录联系人:
图6 获取通讯录联系人
图7 上传通讯录联系人数据包
获取用户短信:
图8 获取用户短信
图9 上传用户短信数据包
获取用户信息的服务器地址:
获取联系人:http://136.**.**.157/msky/v1.0/contact/
获取通话记录:http://136.**.**.157/msky/v1.0/callrecord/
获取短信:http://136.**.**.157/msky/v1.0/sms/
图10 窃取信息服务器地址
(2)诱导用户输入文号查询、***号、手机号、密码等信息
图11 诱导用户输入信息
诱骗用户输入的***信息:
图12 诱骗用户输入的敏感信息
***可选其他信息:
图13 ***其他信息
用户输入的文号签证:
图14 文号信息输入
上传文号信息数据包
图15 上传文号信息数据包
(3)拦截并上传用户短信:
图16 拦截并上传用户短信
同源分析表1同源样本信息
序号 MD5 安装名 包名 10E7F4C3E4F1D3F82F24005E504A6909ABỘCÔNG ANwww.com.rel113 2938A283270AC170D0B69CAFF2EC73DB6BỘCÔNG ANwww.tabcol166.com 306FC6117E91A8EBB1967E9E315F5A575安全防护www.com.cctv50 40DBA70992406A3B866FA7866D010936B安全防护zxc.xyz.abc.msky50007**F6161AE024CCEAD94C07DF7ADB公安防护sdr.edc.abc.msky61F519EE45BFC0273DA27D77**255869A公安防护www.com.answer114表2 服务器地址信息
服务器地址归属地反查144.**.**.38加拿大1*.ip-54-39-23.net45.**.**.226英国5*.deployments.pbxact.com149.**.**.161新加坡c*.mp3terbaru.site23.**.**.103荷兰d*.aircooll.co防范及处置建议(1)用户下载APP应前往官网或正规应用商店,尤其是个税、银行、理财等涉及大量个人隐私信息或个人财产的APP,官网下载要重点关注搜索页面相关官网认证标识,在应用商店下载还须仔细查看应用公示的开发者信息。此外,APP软件版本信息也尽量在多个下载渠道进行反复比对,多方面结合来认证识别,避免下载到仿冒APP。
(2)安装APP过程中,用户须仔细阅读应用申请的权限,如果发现存在与功能完全无关的权限,一定要谨慎安装。例如,游戏APP需要获取用户通话记录信息、短信记录信息,手电筒等工具类应用须获取联系人信息、位置信息等,都属于过度权限申请问题,如不是必须安装的APP,建议不要尝试安装,以防遭遇仿冒APP。另外,如果还是安装了这类APP,也可以到手机设置中的应用管理中将对应应用的敏感权限关闭,对于强制要求打开与功能无关的敏感权限的APP,建议用户果断卸载。
(3)使用APP过程中,对于个人隐私或金融账号的填写一定要慎重,能够填写模糊信息就不要填写精确信息,对于选填项目不要填写,防范个人隐私的泄露及财产损失,若确实遭遇仿冒APP并在使用过程遭遇经济损失或严重隐私泄露问题,应及时报警,避免损失扩大。
(4)关注”暗影实验室”公众号,获取最新移动安全动态。
(5)当发现感染手机病毒软件之后,可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报,使病毒软件能够第一时间被查杀和拦截。