短信攔截馬黑產揭露

概述

從2013年5月至今，AVL移動安全團隊持續監測到了一類高活躍高危害的短信攔截類型木馬。短信攔截馬，顧名思義是一種能夠攔截他人短信木馬，就是讓被攻擊者收不到短信，並將短信內容截取到攻擊者手機上。

此類木馬目前最多見的是經過釣魚、誘騙、欺詐等方式誘導用戶裝上木馬，而後經過攔截轉發用戶短信內容，以此獲取各類用戶重要的我的隱私信息，如用戶姓名、身份證號碼、銀行卡帳戶、支付密碼及各類登陸帳號和密碼等，形成這些信息的泄露，再利用此信息從而達到竊取用戶資金的目的，嚴重威脅用戶的財產安全。

另外，此前流行的」XX神器」也有短信攔截轉發的功能。

數據統計

短信攔截馬功能簡單、開發成本低，但更新變化速度快，假裝目標不斷更換，涉及樣本量比較龐大。從最先13年5月出現到14年9月，共截獲該類木馬將近2萬個。

活躍曲線

從13年5月起，AVL移動安全中心每個月都能監控到該類木馬，從其活躍曲線能夠看到其呈現不斷增加的趨勢：

圖1 攔截馬樣本捕獲狀況

行爲分佈

短信攔截馬其行爲主要是攔截並轉發短信來竊取隱私，此外部分還帶有誘騙欺詐、遠程控制、資費消耗、惡意扣費等。從下圖攔截馬主要行爲分佈能夠發現誘騙欺詐、遠程控制、資費消耗都佔有不小的比例：

圖2 攔截馬主要行爲分佈

樣本包名Top 20

下圖爲樣本包名Top 20，從中能夠發現最多的是假裝成Android系統應用名，其次則是example、test等測試名稱：

圖3 攔截馬假裝包名Top 20

假裝應用Top 10

樣本假裝應用Top 10，不出意外的中國移動最多，下圖中其實還有移動客戶端、1008六、移動掌上營業廳、掌上營業廳、移動營業廳都屬於假裝的移動應用，其次則是假裝的淘寶」淘分享」：

圖4 攔截馬假裝應用Top 10

對抗狀況

攔截馬家族發展迅速，持續的演變過程當中便不得不與安全軟件查殺對抗，除了常規惡意代碼手段，攔截馬家族更喜歡採用加殼這種簡單有效的手段。頻繁更換修改加殼方式，高頻率持續更新以保證繞過安全軟件，攔截馬對抗很有09年PC上的免殺趨勢。

下圖爲攔截馬家族加殼樣本捕獲狀況，從圖中可見從攔截馬最先出現的時候就已經開始有使用加殼技術了，不過直到2014年6月纔開始持續增加，而如今正是高速爆發時期:

圖5 攔截馬加殼樣本捕獲狀況

下圖爲攔截馬加殼樣本與當月樣本數的統計狀況，攔截馬的捕獲數量依然在持續增加，而加殼樣本比例亦在增長：

圖6攔截馬加殼樣本統計

對攔截馬加殼樣本所採用的加殼方案作了一下統計，其中大部分都在使用apkprotect這一加固方案，而其餘方案則少量多：

圖7 攔截馬加殼類型統計

加固是一把雙刃劍，保護開發者APP的同時也成爲木馬做者的一把」保護傘」，但願諸多加固公司能在加固應用前多作惡意代碼審覈工做。

黑產揭露

攔截馬黑色產業鏈

攔截馬的爆發必然有其緣由，根據AVL團隊研究人員多方採證以及臥底取證，最終還原了其完整的黑色產業鏈：

圖8 攔截馬攻擊模型

從僞基站發送僞造釣魚網站地址，再到用戶訪問釣魚網站，欺騙用戶輸入我的信息，網站掛馬誘導用戶下載安裝短信攔截木馬，最後攻擊者在線轉帳時經過攔截馬轉發網銀驗證碼完成轉帳，這就是一個簡單的攔截馬工具模型。

圖9 攔截馬黑色產業鏈

攔截馬黑色產業鏈分工明確結構簡單，主要由如下四部分組成：
1.開發售賣：這部分主要是攔截馬木馬的開發以及免殺、釣魚網站的開發出售、僞基站的出售；
2.木馬分發：廣撒網才能多收魚，攔截馬分發手段主要有釣魚短信、網站掛馬、二維碼傳播；
3.竊取售賣：攔截馬植入成功便可獲取攔截短信，但黑產關注的信息主要在於各大銀行、支付寶、遊戲點卡、運營商話費充值卡、Q幣等等，這些信息都是能夠直接交易；
4.洗錢：洗錢也是技術活，生意好的日入上萬不是夢，雖然洗錢是獲利最多的，但同時也是風險也最大。

文章最後附有研究人員潛伏攔截馬交易羣所收集到的部分相關聊天證據記錄截圖。

相關產業

百度搜索攔截馬就有118萬個結果，其中有產業鏈揭露、樣本破解分析，但更多則是交易信息：

圖10 百度」短信攔截馬」百萬以上詞條

木馬開發

下圖爲豬八戒網的開發需求，可見攔截馬開發及免殺依然持續中的；不過攔截馬功能比較簡單，開發成本較低，即使免殺也一般使用已有加固方案，因此圖中給的報酬都比較低：

圖11 豬八戒網攔截馬開發需求

僞基站

僞基站是近幾年開始流行的，黑產中一般用於發送僞造短信誘導用戶進入釣魚網站，以下圖便是一個僞造的工行短信，值得注意的是其使用了gov.cn域名下的子頁，相對增強了權威性而下降了用戶警戒：

圖12 僞基站釣魚網站短信

另外僞基站還有以下詐騙的使用方式，經過僞造短信來恐嚇用戶來進行詐騙行爲，不久前」小龍女」李若彤經紀人造電信詐騙百萬以上，手法就與此相似：

圖13 僞基站詐騙短信

釣魚網站

攔截馬樣本中最愛假裝中國移動，因此同時也發現了大量的山寨中國移動釣魚網站，此類網站一般以積分兌換現金來誘騙用戶輸入相關銀行賬號信息，同時誘導用戶下載安裝短信攔截木馬：

圖14 山寨中國移動釣魚網站

下圖便是一個山寨中國電信釣魚網站，採起一樣的手法獲取用戶我的信息並誘導安裝短信攔截木馬，該木馬還會欺騙用戶不要卸載：

圖15 山寨中國電信釣魚網站

圖16 木馬欺騙用戶不要卸載

洗錢

利益所趨，正是攔截馬火爆的主要緣由。下圖爲某黑產人員曝光的攔截馬洗錢記錄，可謂日入上萬不是夢：

圖17 攔截馬洗錢記錄

總結

隨着時間的推移，移動通訊技術的發展，智能手機的出現，移動支付也漸漸佔據主流。但因爲手機支付安全問題日益突出，加上Android應用開發的簡單，以及僞基站的出現，加固方案的發展，再結合流行已久的釣魚網站，短信攔截馬做爲一個功能簡單開發成本低，但獲利頗高的黑色行業，不可避免的在短期內便造成了其完整的產業鏈。

短信攔截馬家族此刻正處在高速爆發時期，不管數量仍是質量都有着明顯的提升，尤爲大量加殼對抗樣本的出現，給安全公司分析人員形成了極大的困擾。在此但願諸多加固公司在對應用加固的時候，能多作一些惡意代碼審覈工做，避免與安全公司陷入加殼脫殼無窮盡的內耗中，而使惡意代碼漁翁得利。

攔截馬家族變化速度快，對抗強度高，傳播渠道廣，欺騙性強，極易形成用戶重大經濟損失以及隱私泄露。隨着攔截馬家族的爆發，同時更會不斷產生着大量的僞基站詐騙短信以及釣魚網站，但願用戶能保持良好的安全上網習慣，以及對釣魚欺詐的警覺，能夠極大避免此類威脅。同時用戶能夠下載並使用AVL Pro對該類木馬進行檢測和查殺。

參考

【1】警戒手機釣魚網站植入木馬，http://blog.avlyun.com/713.html

【2】警戒手機釣魚網站植入木馬—電信篇，http://blog.avlyun.com/1283.html

【3】探祕短信馬產業鏈-從逆向到爆菊，http://drops.wooyun.org/tips/789

【4】11月最新灰色項目，短信攔截馬，支付寶銀行卡有多少洗多少！

http://www.80lou.com/thread-425719-1-1.html

附-攔截馬交易羣部分聊天記錄

從聊天記錄能夠大體還原攔截馬完整的黑產鏈，從木馬開發、免殺、僞基站、釣魚網站、攔截料交易、洗錢，無一不有：