2017第一季度安卓短信扣费木马研究报告
信息安全公益宣传,信息安全知识启蒙。
加微信群回复公众号:微信群;QQ群:16004488
一、摘要
1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。
隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。
1.2 短信扣费类木马分为两大流派。
势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。
1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。
本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费通道,SP不死就可以持续扣费,目前主流的短信扣费以云端获取为主,木马通常还自带清理现场的功能。
1.4 从产业链上看,SP代理商,流量商,以及开发者是产业链中的主要角色。
开发者从SP代理商获取到SP扣费信息植入到应用中,然后从流量商手中购买流量将恶意应用安装到用户手机,最终通过订阅各类SP服务变现。
1.5 短信扣费木马的主要传播渠道主要有五种。
从传播渠道看,主要有游戏破解网站、软件下载站、广告联盟、部分应用市场以及一些地下黑流量推广(比如通过色情播放器传播)。
1.6 从拦截的短信扣费木马的家族看,有能力大规模传播的还是少数。
目前腾讯反诈骗实验室通过海量样本分析发现,短信扣费木马主要包含有以下病毒家族:
二、背景
2.1 用户安装盗版或者修改版游戏被恶意扣费
2.2 首起恶意扣费软件案涉案金额6700万元
2.3 话费支付的正确打开方式和恶意实现
三、短信扣费木马影响面
3.1 用户感染趋势变化
3.1.1 今年1月份开始感染用户开始飙升,并且逐步处于稳步微增的
3.1.2 从感染区域分布看,从大到小排序 广东,四川,河南,湖南,江苏,贵州,广西等
3.1.3 短信扣费木马变化趋势
从收集样本数看,短信扣费木马样本数处于增长趋势,4月份尚未过半,样本收集量已经接近3月份的总量。
3.2 扣费恶意代码寄生的应用类型
(1) 刚需色情,用户主动下载或被推广安装
(2) 娱乐游戏,用户主动下载或推广安装
(3) 无图标或者伪装系统应用,通过恶意推广或ROM内置
3.3 主要传播渠道
(1) 恶意广告推广:用户访问小说、视频网站弹出的恶意广告。
(2) 应用市场:这些应用市场对于应用的安全性要求较低,恶意应用很容易就可以上架传播。
(3) 软件或游戏下载站:提供各种破解,修改版应用下载,存在一些诱导下载广告位或恶意应用下载。
(4) 暗流量:已经潜伏在用户电脑内的恶意应用,通过弹窗,诱导提示或者静默自动推广。
(5) ROM内置:通过与一些山寨机合作直接植入到ROM内,或在终端出厂后在销售环节植入。
3.4 传播四步骤
* 木马作者通过SP代理商获取获得扣费通道。
* 木马作者将恶意扣费代码封装到恶意应用。
* 木马作者购买流量,通过各种渠道将恶意应用推广安装到用户手机。
* 用户手机中招,通过SP订阅服务,木马作者牟利,各方按照协议进行分成皆大欢喜.。
四 流行短信扣费木马家族
4.1 短信扣费五大家族
4.2 各家族的技术点对比
4.3 游戏土匪
此类型是目前最常见的类型,影响面也是最广的。通常手段是重打包其他游戏,植入扣费项目,在用户游戏过程中频繁弹出诱导性弹框,经常使用“礼包”,“领取”,”免费”,”优惠”等字眼诱导用户点击,并故意弱化收费提示,让用户误以为可以免费领取,用户点击后将通过话费购买道具。
此类型木马因为来钱快属于暴利行业,为了提升扣费的用户体验以及对抗检测一直处于攻防对抗中,扣费信息从一开始本地硬编码,到如今普遍通过云端控制下发;扣费弹框的提示逐渐弱化扣费提示信息,以诱骗更多的用户点击。
【弱化提示】:扣费提示人眼可见,但是可以放在用户不容易注意的地方。
【背景色隐藏】:将扣费隐藏在浅色背景中,刻意突出游戏按钮。
【游戏过程中扣费提示】:用户玩的如痴如醉,脑袋犯浑的时候,要不要扣个费玩玩?
【游戏过程中道具】:要想变得更强,装备当然得升级下,当然变强的机会你需要你的手机话费充足。
【进击的用户体验】:用户越来越小心,收入下降了怎么办,于是小伙伴的眼睛就变瞎了T_T
4.4 梵偷
4.4.1 家族简述
该家族通常伪装成色情软件诱骗用户下载安装,同时它也会有一切其它恶意程序合作通过ROOT等强制安装方式将无图标的扣费木马强制安装到用户设备,安装成功了通过云端获取SP扣费信息,伺机窃取用户的话费。常见软件名有魅影视频,美女看看,禁播视频,禁片大全,无码神播。
4.4.2 技术点分析
(1) 从云端通过接口获取扣费信息,如扣费短信信息,包括目标号码,发送内容,发送间隔,拦截确认短信的关键词等信息。
解码后得出下列url:
http://139.196.36.***:8123/alp***/servlet/GetFeeInfo
http://139.196.36.***:8123/alp***/servlet/ADGetWapCfg
http://139.196.36.***:8123/alp***/servlet/GetWapUpload
(2) 启动后,启动activity调用方法检测app状态。
(3) 写入配置信息。
配置文件filter.data的信息。
Filter.data的部分内容如下:
(4) 接收不同action执行不同的操作。
(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust后获取扣费信息。
(6) 抓包抓到从pay/servlet/ADGetWapCfg返回短信扣费的信息,如下:
(7) 读取并解析从网络端返回的数据。
(8) 解析数据后将扣费短信信息传送到SyncaService,设置渠道id并发送扣费短信。
(9) 监听接收短信广播,与Filter.data中的关键字内容进行比较,判断是否进行拦截及获取须回复的确认短信内容。
从Filter.data文件中cnfinfo_rule字段获取确认短信内容,并发送确认短信。
4.4.3 家族溯源信息
通过木马获取扣费信息的服务器域名进行溯源。
此人曾收sp业务壳,具有很大嫌疑。
4.5 云偷
该家族伪装成色情播放器或系统应用进行传播,通过色情诱导下载或者恶意病毒安装到用户设备上,成功安装后将通过云端获取SP扣费信息,窃取用户话费.同时该家族还存在私自下载推广其它应用的行为.
4.5.1 病毒运行流程
4.5.2 技术点分析
(1) 样本启动后初始化信息
(2) Com.ks.bjt.a.g加载assets/kx调用com.kx.c.KXU
(3) Com.ks.bjt.a.g的a()到o()别对应com.rt.m.Mh.KXU中的a()到o()方法,分别进行获取广告资源,私自下载其他软件,私自发送短信,创建桌面快捷方式,检测手机运营商信息等操作;
(4) com.rt.m.Mh.KXU中各个方法对应的行为
(5) o(Context)方法调用excHqSPs方法从服务器获取扣费短信信息。
从服务器http://ldjk.t***oft.com/sp/getSPCode获取扣费短信信息。
从网络端返回的扣费短信信息,包括运营商,号码,信息内容,拦截短信关键词,地区等信息:
调用isCheckDay方法对比pre_file_name文件中的值是否过时。
pre_file_name文件内容:
调用saveSp方法,创建数据库sm.db,并把从网络端获取的数据经过筛选后保存进数据库。
数据库sm.db的内容:
(6) e(Context)方法 调用doSm(context)方法读取数据库中的扣费短信信息并发送短信。
拦截包含关键词的短信。
4.6 笨偷
此家族主要伪装成系统应用,并且主要通过其它恶意程序进行传播,病毒成功安装后即向本地配置的SP号码发送扣费信息,导致用户话费被窃取。
该木马启动后通过onCreat方法中判断手机网络的标识号,根据其标识号发送对应的扣费短信内容到对应的号码,短信发送后弹出“程序错误”的信息。同时成功发送扣费信息后将隐藏图标避免用户发现。
4.7 截偷
主要伪装成游戏或者工具类应用进行传播,该木马在本地配置了一些固定的SP扣费信息,木马成功安装后将根据运营商发送特定的SP扣费短信,伺机窃取用户话费,扣费完成后会删除相关的扣费短信避免用户发现异常。
(1) 软件启动后启动服务MainService和 ForListen。
(2) MainService判断手机运营商类型,分别调用Sms1,Sms2,Sms3私自发送短信。
方法Sms1():
方法Sms2():
方法Sms3():
(3) 广播接收器Forboot拦截指定短信。
(4) 删除用户手机短信记录中的指定号码记录。
五 清理方案
使用腾讯手机管家卸载病毒即可清除,部分安装到手机系统的木马需要授予root权限。
六 安全建议
6.1 检查每个应用程序的权限:安装一个Android应用程序时,需要先确认程序所申请的权限,警惕短信相关的权限申请,一些手机厂商内置有权限管理软件,建议禁用非正规软件的短信权限以减少风险。
6.2 安装安全软件并保持更新: 安装腾讯手机管家之类的安全软件,可以及时发现木马病毒并帮助清除 。
6.3 从正规应用程序商店下载软件:Android应用市场鱼龙混杂,许多不正规的应用市场上线软件时并未经过安全检测,因此存在许多安全隐患,不要在小网站下载破解,修改版程序以减少风险 。
6.4 从正规渠道购买手机: 建议用户在购买新手机时应尽量选择大型正规卖场,避免手机系统被装入恶意预装软件。
6.5 养成产看账单详情的习惯: 建议用户在账单日及时查看消费详情的,及时发现可疑的扣费信息。