最近一段时间,“短信拦截马”病毒频繁活跃在各大Android平台上,该木马主要以窃取用户隐私为目的,然后利用盗取的用户信息盗刷银行账户、偷取用户财产等,从而造成用户的隐私泄露、财产损失等危害。
短信拦截马,顾名思义就是一种可以拦截到他人短信的木马,可以控制拦截用户手机中收到的短信,让用户无法实时收到短信,并将用户手机中的短信内容私自发送到攻击者的手机和邮箱中。
瑞星安全研究人员通过对“短信拦截马”病毒研究分析发现,短信拦截马最容易伪装成移动掌上营业厅、淘宝、支付宝、相册、视频、学习资料等的手机APP客户端,让用户以为是官方APP放松警惕,从而诱导用户安装运行。
图:“短信拦截马”病毒图标伪装
“短信拦截马”病毒为了防止安全人员逆向分析研究,将代码进行混淆,但是包内文件结构一致,内容也很类似。
图:“短信拦截马”病毒样本包结构
木马运行后为了获取设备管理器权限,会在启动界面上提示用户“提高权限获取保护”等词语诱导用户激活设备管理器权限,用户一旦激活此权限,木马病毒便会隐藏自身图标,很难被卸载。如果用户选择取消激活设备管理器,木马病毒则会弹出警告: “谨慎操作!取消激活可能会影响手机正常使用”等字语威胁用户。
图:提示用户激活设备管理器权限
当“短信拦截马”病毒程序安装完毕后,木马便遍历用户手机中的个人隐私信息,如通讯录、短信等,然后将获取的信息发送到攻击者的邮箱中。然而,黑产更关注的是银行等支付交易的验证码短信,当黑产团伙同时掌握了用户的银行卡信息和验证手机后,就可以通过拦截短信验证码的方式进行资金交易转账等一系列操作。
其实,这类“短信拦截马”的技术原理及实现并不复杂,且利用的技术手段也大致相同,几乎都是通过注册短信广播或者观察模式监控手机短信的收发过程,从而实现短信拦截和窃取用户个人隐私的恶意功能。
PC端互联网已经处于日渐饱和的状况,而移动互联网产业正在迅速的蓬勃发展中,随着时间的推移及移动智能设备的出现,移动支付也渐渐占据主流。伴随伪基站的出现,移动智能终端支付的安全性问题也日趋凸显。当前,Android应用的开发相对较为简单,结合目前较为流行的钓鱼网站,短信拦截马作为一个功能简单、开发成本低、获利颇高的非法牟利手段,很快就能在短时间内形成一套完整的黑色产业链。
瑞星安全研究人员介绍,“短信拦截马”家族此时还正继续在社会上传播蔓延,变种的速度也很快,欺诈性也很强,传播渠道也很广,很容易造成大范围的经济损失以及个人隐私的泄露。希望用户能自我建立良好的上网习惯,以及对钓鱼网站和欺诈信息的高度警惕,最大程度上避免自己的隐私和财产受到此类病毒诈骗的威胁。同时,用户还可以下载并使用瑞星手机安全助手对该类木马进行检测和查杀。
病毒详细分析
木马安装成功后,会给攻击者的手机发送一条短信,提示该木马安装完毕。
图:发送识别码
木马将盗取用户的短信、通讯录等通过SMTP协议发送到指定的邮箱。由于使用SMTP协议发送邮件,需要发件人的邮箱账号密码。所以样本中内置了牧马人的发件邮箱账号密码。
图:使用163发信
早期样本中,发件邮箱账号和密码都是明文形式存在文件中,随着样本的升级,病毒作者以加密形式保存了此信息,但是通过调试也很容易解密出发件邮箱的账号密码。使用邮件收信在很早之前的木马中流行过,但因为要内置发件邮箱的账号密码,这种方法很早就被淘汰,此木马中仍然使用邮箱发件,足可看出该木马的水平非常底下。
图:加密过的邮箱账号密码
该木马还会替换收件信息内容中的敏感字,逃避杀毒软件和一些流量邮件监控软件的检测。
图:敏感字替换
样本安装运行后还会向用户的所有联系人发送短信进行恶意传播,内容为: 我给你录了视频你看下 123.60.159.122/Zet 。当联系人收到该短信访问此链接后又会下载该木马病毒。
图:木马通过短信传播
样本信息
[责任编辑:瑞瑞]