短信拦截技术,黑色产业
根据猎豹安全实验室的云空间监控器资料显示,近1个月捕获的“短信拦截”类样版变种数量超过10万,影响用户量达数千万之多。“短信拦截”木马病毒作为安卓手机病毒中的类别常见样版,近几年来显出爆发增长的发展趋势,其身后的黑色全产业链也日渐稳步发展,“短信拦截马”的逐步泛滥成灾已经成为手机支付、网上银行资产等各环节的聚焦安全隐患。
“短信拦截马”导致网上银行资金失窃的新闻报道屡见报端,作为一个安全生产商对于被害用户的遭遇也倍感悲痛,这也促进我们在杀毒抵抗“短信拦截马”的工作上投入更多的努力。在安全抵抗过程中对于“短信拦截马”灰产的运行有了一些了解,在针对灰产犯罪团伙进行跟踪调查取证方面也作出了一些试着,下面把在我们这个过程中产生的一些经验和思考做一个分享,希望可以让用户能够更多地了解和避开该类安全隐患,也希望安全圈里有更多的眼光可以关注到这个问题。
典型性样版分析
典型性的“短信拦截马”从技术原理和实现上看并不复杂,大多数通过注册短消息广播节目(BroadcastReceiver)或者观察模式(ContenetObserver)监控器手机信息的接收过程,当然也出现一些功能更全面强大的远程控制类手机木马,短信拦截只中的一项功能。网上相近的短信拦截源代码也非常多,了解过安卓开发的都可以迅速编写出一个“短信拦截马”,这也是“短信拦截马”变种更快、传播泛滥成灾的一个重要原因。
在我们最近的云空间监控器中有类别“短信拦截马”变种非常活跃性,占有整体样本量的15%左右。该样版使用“stalker”作为配置信息的数据加密密匙,所以我们将其取名为“潜行者”,下面我们就以它为例对典型性“短信拦截马”进行简单的技术指标分析。
从图中可以看得出一个“短信拦截马”的典型性功能结构,在对于“潜行者”样版的分析过程中也发现一些比较有趣的细节,如下:
1)出自于兼容模式考虑,木马病毒同时使用了“广播节目体制”和“观察者模式”两种方法进行短信拦截。从木马病毒启动的时候检查授权时间也可以看得出这个变种是由木马病毒创作者开发以后进行外界出售的。
2)木马病毒在向控制手机传回部分短消息时对比较敏感关键字进行了过虑替换成,防止手机安全软件进行监控器阻拦。
黑色全产业链结构
如图所示,“阻拦马”黑色全产业链条从整体职责分工层级上看相对比较清楚,木马病毒创作者、派发传播、进料、洗阻拦料、转帐洗黑钱组成了黑色全产业链的重要环节,其中掌有大量“阻拦料”的料主在整个传动链条中处于相对核心的影响力。
与此同时从实际运行来看整个社交圈又具有一定程度的多元性,除了上述几个重要参加角色,每个全产业链环节还会有一些其他灰产人员参加其中,例如盗卖私人信息、伪卡交易、垂钓后台管理维护、木马病毒免杀处理等等,甚至还包括一些海外洗黑钱组织的背影;灰产社交圈内部也充满了诈骗,“黑历史”这种事情也成为常态化,具有一定技术水平的犯罪团伙才是爆利所得者;另外一些技术、资源实力强大的犯罪团伙,可能会斩获整个传动链条的多个甚至是全部环节,其爆利盈利自然也是最高的。
相关文章
- 1条评论
- 可难邶谌2022-05-30 17:11:37
- 根据猎豹安全实验室的云空间监控器资料显示,近1个月捕获的“短信拦截”类样版变种数量超过10万,影响用户量达数千万之多。“短信拦截”木马病毒作为安卓手机病毒中的类别常见样版,近几年来显出爆发增长的发展趋势,其身后的黑色全产业链也日渐