追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”-阿里云开发者社区

开发者社区> boxti> 正文

追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

简介:
+关注继续查看
   
   近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动,以免费获取话费的短信诱惑用户下载安装。

该病毒运行后会执行以下恶意行为:

  • 窃取用户短信并上传到指定邮箱;

  • 根据短信指令锁定手机进行勒索;

  • 根据远程短信指令遍历联系人,并向所有联系人群发附带恶意下载链接的钓鱼短信进行恶意传播;

  • 一旦发现用户执行卸载此恶意软件的操作,该病毒会直接锁定用户手机,并对用户进行勒索。

病毒运行流程图如下:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

病毒行为详细分析

1.窃取用户短信信息

Trick病毒程序运行后,首先获取用户手机中的所有短信,以邮件正文的形式上传至指定邮箱,同时还会将短信内容写入txt文件中,通过邮箱上传,邮件标题为“短信”。

通过对Trick病毒样本的溯源,我们发现了该恶意开发者的邮箱信息,在邮箱中发现大量感染用户的隐私信息,其中以各类短信验证码最为常见。

虽然该病毒样本本身并没有窃取用户账户信息的功能,但是考虑到目前大量的隐私信息被泄露,恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息,后续通过短信拦截马执行解绑、改密、转账等操作。

  • 更换微信绑定关系:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更换平安普惠设备验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更换QQ号绑定手机:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 银行转账验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 订购腾讯业务:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 微信支付验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更改银行预留电话验证码,开通手机银行:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • SP订阅:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

2.激活设备管理器

运行后,Trick病毒会诱导用户激活设备管理器,若用户成功激活设备管理器,则会提示用户重启软件:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

3.隐藏图标

激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

4.接收短信指令进行远控行为

Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信,解析此短信内容发现它会执行以下操作:

指令1:锁机

锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038******有偿解锁。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

指令2:短信

短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。

指令3:群发

群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。

5.实时上传短信

Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。

6.卸载程序锁机

Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时,该病毒会直接将用户手机锁屏并勒索,勒索界面与以上锁机界面相同:

7.第三方推送服务

Trick病毒还实现了Bmob的第三方推送服务功能,在当前的程序中并没有对推送消息进行处理,可以推测在后续的版本中可能会实现执行更多的指令控制或其他功能。

恶意开发者追溯

1.追溯恶意开发者主控手机号码以及地域信息

我们从代码静态分析中得到恶意开发者发送指令的主控手机,通过对主控手机归属地的查询,可以看到该号码号码归属地为四川德阳市:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

2.追溯恶意开发者SNS账号信息及姓名

我们从代码静态分析中得到恶意开发者邮箱信息,在邮箱中有蒲公英应用分发平台上的账号,从中可以得知作者的名字和QQ:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

通过分析我们还发现该恶意作者存在对外兜售拦截马的行为:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

3.进一步判断恶意开发者身份

a)通过上一追溯环节的结论,我们得到了恶意开发者的qq账号,以下是其qq账号个人资料信息。从下图可以看到,该开发者的年龄为18岁(但该信息不一定可靠),初步推断其为高中生的可能性。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

b)通过访问该qq对应的qq空间,我们看到其空间中展示了某渠道拦截到的受害者短信信息,为该qq与实际攻击者进行了一次强关联,也进一步保证了我们通过该qq收集的攻击者信息的可靠性。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

c)该空间中上传了一些学校运动会的照片,可以推断出该攻击者为一名学生。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

d)我们在其空间中看到了攻击者发布的学校位置的卫星图以及对应的卫星拍摄视频地址。通过查看该卫星拍摄视频,视频结尾呈现了视频制作者姓名,而该姓名与前面追溯环节所得到的攻击者姓名信息完全一致。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

e)更为关键的是,该卫星拍摄地图以及空间中的说说信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德阳市下某县的某所高中,进一步印证了攻击者为高中生的推测。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

综上,我们可以推断出该恶意开发者极有可能是来自四川省德阳市下某高中的一名高中生。

总结

Trick病毒伪装成中国移动,以免费获取话费的钓鱼短信诱导用户下载并安装病毒。该病毒运行后窃取用户的短信内容并上传至指定邮箱,同时向联系人群发钓鱼短信进行恶意传播。此外,该病毒通过短信指令远控执行恶意行为,后续可能进一步形成僵尸网络。

Trick病毒虽然没有窃取用户账户密码的恶意功能,但从恶意开发者邮箱内的短信内容可以合理推断出该恶意开发者极有可能通过其他渠道获取用户的QQ、微信、甚至银行账户等隐私信息,后续通过解绑、改密的方式登录用户账户,对用户财产造成极大的安全风险。

一个出自高中生之手的病毒技术如此高明,让我们深感如今高中生信息技术水平之高的同时,也警醒我们应该加强对网络安全感兴趣的年轻人的正向引导,将他们的技术天赋应用在对抗网络攻击上,而不是开发病毒窃取别人的隐私、财产,否则黑客最终将会受到法律制裁。

  
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Apache 单IP配置多个HTTPS虚拟主机
Apache 文档中提到,不能在单个 IP上同时有多个按名字识别的虚拟主机("named virtual host"),其实不完全是这样了。 使用SNI SNI全称Server Name Indication(服务器名称指示),这个问题可以解决apache中的单IP多HTTPS虚拟主机,只有默认第一个站点的SSL生效的问题。但是这些技术需要浏览器的版本支持
243 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4056 0
新发布:免费的防疫数据分析与可视化平台---阿里云新冠病毒疫情分析App
免费的防疫数据分析与可视化平台能力---阿里云新冠病毒疫情分析App 新冠病毒疫情分析App是基于阿里云日志服务中台,提供的一站式的数据处理可视化分析系统。借助它,可以在全球范围内了解各省份、市区的全面一手疫情信息和防疫新闻动态。目前该能力全面开放给政府、社区、第三方平台和开放者进行广泛应用。
3436 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4430 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
5723 0
新冠病毒肺炎疫情数据分析 APP 发布 国际疫情大盘
SLS 发布针对新冠病毒肺炎疫情国内动态展示分析的 APP 已经全面开放给政府、社区、第三方平台和开放者进行广泛应用,完全免费开放。随着新冠病毒肺炎疫情在全球爆发,又推出跟踪关注全球范围疫情动态的分析大盘。
1907 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3202 0
+关注
boxti
12535
10037
文章
1327
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载