概述

從2013年5月至今，AVL移動安全團隊持續(xù)監(jiān)測到了一類高活躍高危害的短信攔截類型木馬。短信攔截馬，顧名思義是一種可以攔截他人短信木馬，就是讓被攻擊者收不到短信，并將短信內(nèi)容截取到攻擊者手機上。

此類木馬目前最常見的是通過釣魚、誘騙、欺詐等方式誘導用戶裝上木馬，然后通過攔截轉(zhuǎn)發(fā)用戶短信內(nèi)容，以此獲取各種用戶重要的個人隱私信息，如用戶姓名、身份證號碼、銀行卡賬戶、支付密碼及各種登錄賬號和密碼等，造成這些信息的泄露，再利用此信息從而達到竊取用戶資金的目的，嚴重威脅用戶的財產(chǎn)安全。

另外，此前流行的”XX神器”也有短信攔截轉(zhuǎn)發(fā)的功能。

數(shù)據(jù)統(tǒng)計

短信攔截馬功能簡單、開發(fā)成本低，但更新變化速度快，偽裝目標不斷更換，涉及樣本量比較龐大。從最早13年5月出現(xiàn)到14年9月，共截獲該類木馬將近2萬個。

活躍曲線

從13年5月起，AVL移動安全中心每月都能監(jiān)控到該類木馬，從其活躍曲線可以看到其呈現(xiàn)不斷增長的趨勢：

 

圖1 攔截馬樣本捕獲情況

行為分布

短信攔截馬其行為主要是攔截并轉(zhuǎn)發(fā)短信來竊取隱私，此外部分還帶有誘騙欺詐、遠程控制、資費消耗、惡意扣費等。從下圖攔截馬主要行為分布可以發(fā)現(xiàn)誘騙欺詐、遠程控制、資費消耗都占有不小的比例： 

 

圖2 攔截馬主要行為分布

#p#

樣本包名Top 20

下圖為樣本包名Top 20，從中可以發(fā)現(xiàn)最多的是偽裝成Android系統(tǒng)應用名，其次則是example、test等測試名稱： 

 

圖3 攔截馬偽裝包名Top 20

偽裝應用Top 10

樣本偽裝應用Top 10，不出意外的中國移動最多，下圖中其實還有移動客戶端、10086、移動掌上營業(yè)廳、掌上營業(yè)廳、移動營業(yè)廳都屬于偽裝的移動應用，其次則是偽裝的淘寶”淘分享”： 

 

圖4 攔截馬偽裝應用Top 10

對抗情況

攔截馬家族發(fā)展迅速，持續(xù)的演變過程中便不得不與安全軟件查殺對抗，除了常規(guī)惡意代碼手段，攔截馬家族更喜歡采用加殼這種簡單有效的手段。頻繁更換修改加殼方式，高頻率持續(xù)更新以保證繞過安全軟件，攔截馬對抗頗有09年PC上的免殺趨勢。

下圖為攔截馬家族加殼樣本捕獲情況，從圖中可見從攔截馬最早出現(xiàn)的時候就已經(jīng)開始有使用加殼技術(shù)了，不過直到2014年6月才開始持續(xù)增長，而現(xiàn)在正是高速爆發(fā)時期:

 

圖5 攔截馬加殼樣本捕獲情況

下圖為攔截馬加殼樣本與當月樣本數(shù)的統(tǒng)計情況，攔截馬的捕獲數(shù)量依然在持續(xù)增長，而加殼樣本比例亦在增加： 

 

圖6攔截馬加殼樣本統(tǒng)計

對攔截馬加殼樣本所采用的加殼方案做了一下統(tǒng)計，其中大部分都在使用apkprotect這一加固方案，而其他方案則少許多： 

 

圖7 攔截馬加殼類型統(tǒng)計

加固是一把雙刃劍，保護開發(fā)者APP的同時也成為木馬作者的一把”保護傘”，希望諸多加固公司能在加固應用前多做惡意代碼審核工作。#p#

黑產(chǎn)揭露

攔截馬黑色產(chǎn)業(yè)鏈

攔截馬的爆發(fā)必然有其原因，根據(jù)AVL團隊研究人員多方采證以及臥底取證，最終還原了其完整的黑色產(chǎn)業(yè)鏈： 

 

圖8 攔截馬攻擊模型

從偽基站發(fā)送偽造釣魚網(wǎng)站地址，再到用戶訪問釣魚網(wǎng)站，欺騙用戶輸入個人信息，網(wǎng)站掛馬誘導用戶下載安裝短信攔截木馬，最后攻擊者在線轉(zhuǎn)賬時通過攔截馬轉(zhuǎn)發(fā)網(wǎng)銀驗證碼完成轉(zhuǎn)賬，這就是一個簡單的攔截馬工具模型。 

 

圖9 攔截馬黑色產(chǎn)業(yè)鏈

攔截馬黑色產(chǎn)業(yè)鏈分工明確結(jié)構(gòu)簡單，主要由以下四部分組成：

1.開發(fā)售賣：這部分主要是攔截馬木馬的開發(fā)以及免殺、釣魚網(wǎng)站的開發(fā)出售、偽基站的出售;

2.木馬分發(fā)：廣撒網(wǎng)才能多收魚，攔截馬分發(fā)手段主要有釣魚短信、網(wǎng)站掛馬、二維碼傳播;

3.竊取售賣：攔截馬植入成功即可獲取攔截短信，但黑產(chǎn)關注的信息主要在于各大銀行、支付寶、游戲點卡、運營商話費充值卡、Q幣等等，這些信息都是可以直接交易;

4.洗錢：洗錢也是技術(shù)活，生意好的日入上萬不是夢，雖然洗錢是獲利最多的，但同時也是風險也最大。

文章最后附有研究人員潛伏攔截馬交易群所收集到的部分相關聊天證據(jù)記錄截圖。

相關產(chǎn)業(yè)

百度搜索攔截馬就有118萬個結(jié)果，其中有產(chǎn)業(yè)鏈揭露、樣本破解分析，但更多則是交易信息： 

 

圖10 百度”短信攔截馬”百萬以上詞條

#p#

木馬開發(fā)

下圖為豬八戒網(wǎng)的開發(fā)需求，可見攔截馬開發(fā)及免殺依然持續(xù)中的;不過攔截馬功能比較簡單，開發(fā)成本較低，即便免殺也通常使用已有加固方案，所以圖中給的報酬都比較低： 

 

圖11 豬八戒網(wǎng)攔截馬開發(fā)需求

偽基站

偽基站是近幾年開始流行的，黑產(chǎn)中通常用于發(fā)送偽造短信誘導用戶進入釣魚網(wǎng)站，如下圖即是一個偽造的工行短信，值得注意的是其使用了gov.cn域名下的子頁，相對加強了權(quán)威性而降低了用戶警惕： 

 

圖12 偽基站釣魚網(wǎng)站短信

另外偽基站還有如下詐騙的使用方式，通過偽造短信來恐嚇用戶來進行詐騙行為，不久前”小龍女”李若彤經(jīng)紀人造電信詐騙百萬以上，手法就與此類似： 

 

圖13 偽基站詐騙短信

#p#

釣魚網(wǎng)站

攔截馬樣本中最愛偽裝中國移動，所以同時也發(fā)現(xiàn)了大量的山寨中國移動釣魚網(wǎng)站，此類網(wǎng)站通常以積分兌換現(xiàn)金來誘騙用戶輸入相關銀行帳號信息，同時誘導用戶下載安裝短信攔截木馬： 

 

圖14 山寨中國移動釣魚網(wǎng)站

下圖即是一個山寨中國電信釣魚網(wǎng)站，采取同樣的手法獲取用戶個人信息并誘導安裝短信攔截木馬，該木馬還會欺騙用戶不要卸載： 

 

圖15 山寨中國電信釣魚網(wǎng)站 

 

圖16 木馬欺騙用戶不要卸載

#p#

洗錢

利益所趨，正是攔截馬火爆的主要原因。下圖為某黑產(chǎn)人員曝光的攔截馬洗錢記錄，可謂日入上萬不是夢： 

 

圖17 攔截馬洗錢記錄

總結(jié)

隨著時間的推移，移動通信技術(shù)的發(fā)展，智能手機的出現(xiàn)，移動支付也漸漸占據(jù)主流。但由于手機支付安全問題日益突出，加上Android應用開發(fā)的簡單，以及偽基站的出現(xiàn)，加固方案的發(fā)展，再結(jié)合流行已久的釣魚網(wǎng)站，短信攔截馬作為一個功能簡單開發(fā)成本低，但獲利頗高的黑色行業(yè)，不可避免的在短時間內(nèi)便形成了其完整的產(chǎn)業(yè)鏈。

短信攔截馬家族此刻正處在高速爆發(fā)時期，無論數(shù)量還是質(zhì)量都有著明顯的提高，尤其大量加殼對抗樣本的出現(xiàn)，給安全公司分析人員造成了極大的困擾。在此希望諸多加固公司在對應用加固的時候，能多做一些惡意代碼審核工作，避免與安全公司陷入加殼脫殼無窮盡的內(nèi)耗中，而使惡意代碼漁翁得利。

攔截馬家族變化速度快，對抗強度高，傳播渠道廣，欺騙性強，極易造成用戶重大經(jīng)濟損失以及隱私泄露。隨著攔截馬家族的爆發(fā)，同時更會不斷產(chǎn)生著大量的偽基站詐騙短信以及釣魚網(wǎng)站，希望用戶能保持良好的安全上網(wǎng)習慣，以及對釣魚欺詐的警覺，可以極大避免此類威脅。同時用戶可以下載并使用AVL Pro對該類木馬進行檢測和查殺。

參考

【1】警惕手機釣魚網(wǎng)站植入木馬，http://blog.avlyun.com/713.html

【2】警惕手機釣魚網(wǎng)站植入木馬—電信篇，http://blog.avlyun.com/1283.html

【3】探秘短信馬產(chǎn)業(yè)鏈-從逆向到爆菊，http://drops.wooyun.org/tips/789

【4】11月最新灰色項目，短信攔截馬，支付寶銀行卡有多少洗多少!

http://www.80lou.com/thread-425719-1-1.html

附-攔截馬交易群部分聊天記錄

從聊天記錄可以大致還原攔截馬完整的黑產(chǎn)鏈，從木馬開發(fā)、免殺、偽基站、釣魚網(wǎng)站、攔截料交易、洗錢，無一不有：