安全路透社
当前位置:安全路透社 > 网络转载 > 正文

2017第一季度安卓短信扣费木马研究:七成扣费木马擅长以”用户的名义”骗取话费

一、摘要

1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。

隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。

1.2 短信扣费类木马分为两大流派。

势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。

1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。

本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费通道,SP不死就可以持续扣费,目前主流的短信扣费以云端获取为主,木马通常还自带清理现场的功能。

14930247717680.png!small 

14930247771197.png!small 

1.4 从产业链上看,SP代理商,流量商,以及开发者是产业链中的主要角色。

开发者从SP代理商获取到SP扣费信息植入到应用中,然后从流量商手中购买流量将恶意应用安装到用户手机,最终通过订阅各类SP服务变现。

1.5 短信扣费木马的主要传播渠道主要有五种。

从传播渠道看,主要有游戏破解网站、软件下载站、广告联盟、部分应用市场以及一些地下黑流量推广(比如通过色情播放器传播)。

1.6 从拦截的短信扣费木马的家族看,有能力大规模传播的还是少数。

目前腾讯反诈骗实验室通过海量样本分析发现,短信扣费木马主要包含有以下病毒家族:

14930247834095.png!small 

二、背景

2.1 用户安装盗版或者修改版游戏被恶意扣费

14930247893373.png!small 

14930247941539.png!small 

2.2 首起恶意扣费软件案涉案金额6700万元

14930248009775.png!small 

2.3 话费支付的正确打开方式和恶意实现

14930248141319.jpg!small 

  

14930248187412.jpg!small 

三、短信扣费木马影响面

3.1 用户感染趋势变化

3.1.1 今年1月份开始感染用户开始飙升,并且逐步处于稳步微增的

14930248247733.png!small 

3.1.2 从感染区域分布看,从大到小排序 广东,四川,河南,湖南,江苏,贵州,广西等

14930248315178.png!small 

3.1.3 短信扣费木马变化趋势

从收集样本数看,短信扣费木马样本数处于增长趋势,4月份尚未过半,样本收集量已经接近3月份的总量。

14930249867870.png!small 

3.2 扣费恶意代码寄生的应用类型

14930249908268.png!small 

 (1) 刚需色情,用户主动下载或被推广安装 

14930249963135.png!small 

(2) 娱乐游戏,用户主动下载或推广安装

14930250003407.png!small14930250039618.png!small  

(3) 无图标或者伪装系统应用,通过恶意推广或ROM内置

       14930250078582.png!small        14930250105608.png!small

3.3 主要传播渠道

(1) 恶意广告推广:用户访问小说、视频网站弹出的恶意广告。

                 14930250164928.jpg!small

(2) 应用市场:这些应用市场对于应用的安全性要求较低,恶意应用很容易就可以上架传播。

(3) 软件或游戏下载站:提供各种破解,修改版应用下载,存在一些诱导下载广告位或恶意应用下载。

14930250274180.png!small 

(4) 暗流量:已经潜伏在用户电脑内的恶意应用,通过弹窗,诱导提示或者静默自动推广。

(5) ROM内置:通过与一些山寨机合作直接植入到ROM内,或在终端出厂后在销售环节植入。

3.4 传播四步骤

* 木马作者通过SP代理商获取获得扣费通道。

* 木马作者将恶意扣费代码封装到恶意应用。

* 木马作者购买流量,通过各种渠道将恶意应用推广安装到用户手机。

* 用户手机中招,通过SP订阅服务,木马作者牟利,各方按照协议进行分成皆大欢喜.。

14930250352406.png!small 

四 流行短信扣费木马家族

4.1 短信扣费五大家族

14930250415140.png!small 

4.2 各家族的技术点对比

14930250472212.png!small 

4.3 游戏土匪

此类型是目前最常见的类型,影响面也是最广的。通常手段是重打包其他游戏,植入扣费项目,在用户游戏过程中频繁弹出诱导性弹框,经常使用“礼包”,“领取”,”免费”,”优惠”等字眼诱导用户点击,并故意弱化收费提示,让用户误以为可以免费领取,用户点击后将通过话费购买道具。

此类型木马因为来钱快属于暴利行业,为了提升扣费的用户体验以及对抗检测一直处于攻防对抗中,扣费信息从一开始本地硬编码,到如今普遍通过云端控制下发;扣费弹框的提示逐渐弱化扣费提示信息,以诱骗更多的用户点击。

【弱化提示】:扣费提示人眼可见,但是可以放在用户不容易注意的地方。

14930250541747.png!small 

14930250603995.png!small 

【背景色隐藏】:将扣费隐藏在浅色背景中,刻意突出游戏按钮。

14930250684813.png!small14930250738583.jpg!small  

【游戏过程中扣费提示】:用户玩的如痴如醉,脑袋犯浑的时候,要不要扣个费玩玩? 

14930250939238.png!small14930250997048.png!small  

【游戏过程中道具】:要想变得更强,装备当然得升级下,当然变强的机会你需要你的手机话费充足。

14930251158109.png!small 

【进击的用户体验】:用户越来越小心,收入下降了怎么办,于是小伙伴的眼睛就变瞎了T_T

14930251216627.jpg!small 

4.4 梵偷

4.4.1 家族简述

该家族通常伪装成色情软件诱骗用户下载安装,同时它也会有一切其它恶意程序合作通过ROOT等强制安装方式将无图标的扣费木马强制安装到用户设备,安装成功了通过云端获取SP扣费信息,伺机窃取用户的话费。常见软件名有魅影视频,美女看看,禁播视频,禁片大全,无码神播。

14930251386099.png!small 

4.4.2 技术点分析

(1) 从云端通过接口获取扣费信息,如扣费短信信息,包括目标号码,发送内容,发送间隔,拦截确认短信的关键词等信息。

14930251451494.jpg!small 

解码后得出下列url:

http://139.196.36.***:8123/alp***/servlet/GetFeeInfo

http://139.196.36.***:8123/alp***/servlet/ADGetWapCfg

http://139.196.36.***:8123/alp***/servlet/GetWapUpload

14930251522209.png!small 

(2) 启动后,启动activity调用方法检测app状态。

14930251584310.jpg!small 

(3) 写入配置信息。

1493025164267.jpg!small

配置文件filter.data的信息。

14930252051357.jpg!small 

Filter.data的部分内容如下:

14930252186072.png!small  

(4) 接收不同action执行不同的操作。

14930252288075.jpg!small

14930252405533.png!small 

(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust后获取扣费信息。

14930252455048.jpg!small 

14930252493656.png!small 

(6) 抓包抓到从pay/servlet/ADGetWapCfg返回短信扣费的信息,如下:

14930252557076.jpg!small 

14930252619361.jpg!small 

(7) 读取并解析从网络端返回的数据。

14930252689032.jpg!small 

14930252738908.jpg!small 

(8) 解析数据后将扣费短信信息传送到SyncaService,设置渠道id并发送扣费短信。

14930252787778.jpg!small 

14930252843529.jpg!small 

14930252925416.jpg!small 

(9) 监听接收短信广播,与Filter.data中的关键字内容进行比较,判断是否进行拦截及获取须回复的确认短信内容。

14930252984034.png!small 

从Filter.data文件中cnfinfo_rule字段获取确认短信内容,并发送确认短信。

14930253032246.png!small 

4.4.3 家族溯源信息

通过木马获取扣费信息的服务器域名进行溯源。

14930253112587.png!small 

此人曾收sp业务壳,具有很大嫌疑。 

14930253178223.png!small

4.5 云偷

该家族伪装成色情播放器或系统应用进行传播,通过色情诱导下载或者恶意病毒安装到用户设备上,成功安装后将通过云端获取SP扣费信息,窃取用户话费.同时该家族还存在私自下载推广其它应用的行为.

14930253257297.png!small 

4.5.1 病毒运行流程

14930253326531.png!small 

4.5.2 技术点分析

(1) 样本启动后初始化信息

14930253391914.jpg!small 

(2) Com.ks.bjt.a.g加载assets/kx调用com.kx.c.KXU

14930253461105.jpg!small 

(3) Com.ks.bjt.a.g的a()到o()别对应com.rt.m.Mh.KXU中的a()到o()方法,分别进行获取广告资源,私自下载其他软件,私自发送短信,创建桌面快捷方式,检测手机运营商信息等操作;

14930253532600.jpg!small14930253603920.jpg!small  

(4) com.rt.m.Mh.KXU中各个方法对应的行为

1493025365270.png!small 

(5) o(Context)方法调用excHqSPs方法从服务器获取扣费短信信息。

14930253717321.jpg!small 

从服务器http://ldjk.t***oft.com/sp/getSPCode获取扣费短信信息。

14930253776414.jpg!small 

从网络端返回的扣费短信信息,包括运营商,号码,信息内容,拦截短信关键词,地区等信息:

14930253834369.jpg!small 

调用isCheckDay方法对比pre_file_name文件中的值是否过时。

149302538875.jpg!small 

pre_file_name文件内容:

14930253943552.jpg!small 

调用saveSp方法,创建数据库sm.db,并把从网络端获取的数据经过筛选后保存进数据库。

14930253995548.jpg!small 

数据库sm.db的内容:

14930254056763.jpg!small 

(6) e(Context)方法 调用doSm(context)方法读取数据库中的扣费短信信息并发送短信。

14930254165224.jpg!small 

14930254671014.jpg!small 

拦截包含关键词的短信。

14930254728003.jpg!small 

4.6 笨偷

此家族主要伪装成系统应用,并且主要通过其它恶意程序进行传播,病毒成功安装后即向本地配置的SP号码发送扣费信息,导致用户话费被窃取。

该木马启动后通过onCreat方法中判断手机网络的标识号,根据其标识号发送对应的扣费短信内容到对应的号码,短信发送后弹出“程序错误”的信息。同时成功发送扣费信息后将隐藏图标避免用户发现。

14930254804644.jpg!small

4.7 截偷

主要伪装成游戏或者工具类应用进行传播,该木马在本地配置了一些固定的SP扣费信息,木马成功安装后将根据运营商发送特定的SP扣费短信,伺机窃取用户话费,扣费完成后会删除相关的扣费短信避免用户发现异常。

14930254874260.png!small 

(1) 软件启动后启动服务MainService和 ForListen。

14930254919259.jpg!small 

(2) MainService判断手机运营商类型,分别调用Sms1,Sms2,Sms3私自发送短信。

方法Sms1():

14930255004099.png!small 

方法Sms2():

1493025507591.jpg!small 

方法Sms3():

14930255189260.png!small 

(3) 广播接收器Forboot拦截指定短信。

14930255258860.jpg!small 

(4) 删除用户手机短信记录中的指定号码记录。

14930255293578.png!small 

五 清理方案

使用腾讯手机管家卸载病毒即可清除,部分安装到手机系统的木马需要授予root权限。

freebuf-logo.jpg 

 1493025539566.jpg!small

六 安全建议

6.1 检查每个应用程序的权限:安装一个Android应用程序时,需要先确认程序所申请的权限,警惕短信相关的权限申请,一些手机厂商内置有权限管理软件,建议禁用非正规软件的短信权限以减少风险。

 14930255446476.png!small

6.2 安装安全软件并保持更新: 安装腾讯手机管家之类的安全软件,可以及时发现木马病毒并帮助清除 。

6.3 从正规应用程序商店下载软件:Android应用市场鱼龙混杂,许多不正规的应用市场上线软件时并未经过安全检测,因此存在许多安全隐患,不要在小网站下载破解,修改版程序以减少风险 。

6.4 从正规渠道购买手机: 建议用户在购买新手机时应尽量选择大型正规卖场,避免手机系统被装入恶意预装软件。

6.5 养成产看账单详情的习惯: 建议用户在账单日及时查看消费详情的,及时发现可疑的扣费信息。

* 本文作者:腾讯手机管家(企业帐号)

未经允许不得转载:安全路透社 » 2017第一季度安卓短信扣费木马研究:七成扣费木马擅长以”用户的名义”骗取话费

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册