追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”

简介:
   
    近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动,以免费获取话费的短信诱惑用户下载安装。

该病毒运行后会执行以下恶意行为:

  • 窃取用户短信并上传到指定邮箱;

  • 根据短信指令锁定手机进行勒索;

  • 根据远程短信指令遍历联系人,并向所有联系人群发附带恶意下载链接的钓鱼短信进行恶意传播;

  • 一旦发现用户执行卸载此恶意软件的操作,该病毒会直接锁定用户手机,并对用户进行勒索。

病毒运行流程图如下:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

病毒行为详细分析

1.窃取用户短信信息

Trick病毒程序运行后,首先获取用户手机中的所有短信,以邮件正文的形式上传至指定邮箱,同时还会将短信内容写入txt文件中,通过邮箱上传,邮件标题为“短信”。

通过对Trick病毒样本的溯源,我们发现了该恶意开发者的邮箱信息,在邮箱中发现大量感染用户的隐私信息,其中以各类短信验证码最为常见。

虽然该病毒样本本身并没有窃取用户账户信息的功能,但是考虑到目前大量的隐私信息被泄露,恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息,后续通过短信拦截马执行解绑、改密、转账等操作。

  • 更换微信绑定关系:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更换平安普惠设备验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更换QQ号绑定手机:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 银行转账验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 订购腾讯业务:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 微信支付验证码:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • 更改银行预留电话验证码,开通手机银行:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

  • SP订阅:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

2.激活设备管理器

运行后,Trick病毒会诱导用户激活设备管理器,若用户成功激活设备管理器,则会提示用户重启软件:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

3.隐藏图标

激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

4.接收短信指令进行远控行为

Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信,解析此短信内容发现它会执行以下操作:

指令1:锁机

锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038******有偿解锁。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

指令2:短信

短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。

指令3:群发

群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。

5.实时上传短信

Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。

6.卸载程序锁机

Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时,该病毒会直接将用户手机锁屏并勒索,勒索界面与以上锁机界面相同:

7.第三方推送服务

Trick病毒还实现了Bmob的第三方推送服务功能,在当前的程序中并没有对推送消息进行处理,可以推测在后续的版本中可能会实现执行更多的指令控制或其他功能。

恶意开发者追溯

1.追溯恶意开发者主控手机号码以及地域信息

我们从代码静态分析中得到恶意开发者发送指令的主控手机,通过对主控手机归属地的查询,可以看到该号码号码归属地为四川德阳市:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

2.追溯恶意开发者SNS账号信息及姓名

我们从代码静态分析中得到恶意开发者邮箱信息,在邮箱中有蒲公英应用分发平台上的账号,从中可以得知作者的名字和QQ:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

通过分析我们还发现该恶意作者存在对外兜售拦截马的行为:

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

3.进一步判断恶意开发者身份

a)通过上一追溯环节的结论,我们得到了恶意开发者的qq账号,以下是其qq账号个人资料信息。从下图可以看到,该开发者的年龄为18岁(但该信息不一定可靠),初步推断其为高中生的可能性。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

b)通过访问该qq对应的qq空间,我们看到其空间中展示了某渠道拦截到的受害者短信信息,为该qq与实际攻击者进行了一次强关联,也进一步保证了我们通过该qq收集的攻击者信息的可靠性。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

c)该空间中上传了一些学校运动会的照片,可以推断出该攻击者为一名学生。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

d)我们在其空间中看到了攻击者发布的学校位置的卫星图以及对应的卫星拍摄视频地址。通过查看该卫星拍摄视频,视频结尾呈现了视频制作者姓名,而该姓名与前面追溯环节所得到的攻击者姓名信息完全一致。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

e)更为关键的是,该卫星拍摄地图以及空间中的说说信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德阳市下某县的某所高中,进一步印证了攻击者为高中生的推测。

追踪 | 中国移动App 竟然是锁机病毒,幕后主使是一名高中生黑客

综上,我们可以推断出该恶意开发者极有可能是来自四川省德阳市下某高中的一名高中生。

总结

Trick病毒伪装成中国移动,以免费获取话费的钓鱼短信诱导用户下载并安装病毒。该病毒运行后窃取用户的短信内容并上传至指定邮箱,同时向联系人群发钓鱼短信进行恶意传播。此外,该病毒通过短信指令远控执行恶意行为,后续可能进一步形成僵尸网络。

Trick病毒虽然没有窃取用户账户密码的恶意功能,但从恶意开发者邮箱内的短信内容可以合理推断出该恶意开发者极有可能通过其他渠道获取用户的QQ、微信、甚至银行账户等隐私信息,后续通过解绑、改密的方式登录用户账户,对用户财产造成极大的安全风险。

一个出自高中生之手的病毒技术如此高明,让我们深感如今高中生信息技术水平之高的同时,也警醒我们应该加强对网络安全感兴趣的年轻人的正向引导,将他们的技术天赋应用在对抗网络攻击上,而不是开发病毒窃取别人的隐私、财产,否则黑客最终将会受到法律制裁。

  
  本文作者: 史中

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
7月前
|
安全 算法 大数据
社交语聊APP发展前景及遇到黑客攻击怎么解决
社交语聊APP发展前景及遇到黑客攻击怎么解决
50 0
|
安全 机器人 API
自制App追踪全美麦当劳的“冰激凌机”,哪台坏了一目了然,还被麦记高管点赞
自制App追踪全美麦当劳的“冰激凌机”,哪台坏了一目了然,还被麦记高管点赞
121 0
|
SQL 人工智能 运维
新冠病毒肺炎疫情数据分析 APP 发布 国际疫情大盘
SLS 发布针对新冠病毒肺炎疫情国内动态展示分析的 APP 已经全面开放给政府、社区、第三方平台和开放者进行广泛应用,完全免费开放。随着新冠病毒肺炎疫情在全球爆发,又推出跟踪关注全球范围疫情动态的分析大盘。
2249 0
新冠病毒肺炎疫情数据分析 APP 发布 国际疫情大盘
|
人工智能 运维 监控
新发布:免费的防疫数据分析与可视化平台---阿里云新冠病毒疫情分析App
免费的防疫数据分析与可视化平台能力---阿里云新冠病毒疫情分析App 新冠病毒疫情分析App是基于阿里云日志服务中台,提供的一站式的数据处理可视化分析系统。借助它,可以在全球范围内了解各省份、市区的全面一手疫情信息和防疫新闻动态。目前该能力全面开放给政府、社区、第三方平台和开放者进行广泛应用。
4403 0
|
Android开发 iOS开发 开发者
App 渠道追踪三大难题:看完这篇文章你的拉新率能提升200%
都在做 App 推广,为什么就你的客单价居高不下? 同样的100块钱,为何别人花出了500块钱效果? 将 App 拉新数量提升200% ,你都有什么方法? ...... 这篇文章从 App 渠道追踪的3大难题入手,详细介绍了渠道追踪的5种方法、以及渠道数据分析的两大思路,相信总有一个方法你会用得上。
|
安全 iOS开发
苹果禁止iPhone黑客访问App Store应用商店
据国外媒体报道,苹果近日对曾经入侵iPhone手机操作系统的黑客采取了较为严历的打击措施,即禁止已被苹果所确认iPhone黑客们访问该公司的App Store应用商店。 谢里夫·哈希姆(Sherif Hashim)就是被苹果“封杀”的外部开发人员之一。
962 0
|
Android开发 开发者 iOS开发
怎样实现App安装来源追踪
目前也有一些第三方服务比较好的解决了一些实际问题,实现全流程的渠道数据对接,这里以openinstall为例做一个介绍
2544 0