4
本文作者: 史中 | 2016-11-04 11:44 |
本文原標(biāo)題《Trick蠕蟲病毒來襲!幕后主使竟是一名高中生“黑客”!》,作者:安天AVL&小米安全中心,轉(zhuǎn)載自安天AVL移動(dòng)安全團(tuán)隊(duì)公眾號(hào),雷鋒網(wǎng)已獲授權(quán)轉(zhuǎn)載。
近期,安天AVL移動(dòng)安全團(tuán)隊(duì)和小米MIUI安全中心發(fā)現(xiàn)一款攜帶勒索功能的攔截馬Trick,經(jīng)過樣本溯源發(fā)現(xiàn),該病毒竟出自國內(nèi)一名高中生之手。該病毒偽裝成中國移動(dòng),以免費(fèi)獲取話費(fèi)的短信誘惑用戶下載安裝。
該病毒運(yùn)行后會(huì)執(zhí)行以下惡意行為:
竊取用戶短信并上傳到指定郵箱;
根據(jù)短信指令鎖定手機(jī)進(jìn)行勒索;
根據(jù)遠(yuǎn)程短信指令遍歷聯(lián)系人,并向所有聯(lián)系人群發(fā)附帶惡意下載鏈接的釣魚短信進(jìn)行惡意傳播;
一旦發(fā)現(xiàn)用戶執(zhí)行卸載此惡意軟件的操作,該病毒會(huì)直接鎖定用戶手機(jī),并對(duì)用戶進(jìn)行勒索。
病毒運(yùn)行流程圖如下:
Trick病毒程序運(yùn)行后,首先獲取用戶手機(jī)中的所有短信,以郵件正文的形式上傳至指定郵箱,同時(shí)還會(huì)將短信內(nèi)容寫入txt文件中,通過郵箱上傳,郵件標(biāo)題為“短信”。
通過對(duì)Trick病毒樣本的溯源,我們發(fā)現(xiàn)了該惡意開發(fā)者的郵箱信息,在郵箱中發(fā)現(xiàn)大量感染用戶的隱私信息,其中以各類短信驗(yàn)證碼最為常見。
雖然該病毒樣本本身并沒有竊取用戶賬戶信息的功能,但是考慮到目前大量的隱私信息被泄露,惡意開發(fā)者極有可能通過其他渠道獲取到感染手機(jī)QQ、微信、銀行卡賬戶等信息,后續(xù)通過短信攔截馬執(zhí)行解綁、改密、轉(zhuǎn)賬等操作。
更換微信綁定關(guān)系:
更換平安普惠設(shè)備驗(yàn)證碼:
更換QQ號(hào)綁定手機(jī):
銀行轉(zhuǎn)賬驗(yàn)證碼:
訂購騰訊業(yè)務(wù):
微信支付驗(yàn)證碼:
更改銀行預(yù)留電話驗(yàn)證碼,開通手機(jī)銀行:
SP訂閱:
運(yùn)行后,Trick病毒會(huì)誘導(dǎo)用戶激活設(shè)備管理器,若用戶成功激活設(shè)備管理器,則會(huì)提示用戶重啟軟件:
激活設(shè)備管理器后,Trick病毒會(huì)彈出虛假對(duì)話框,提示虛假信息“程序異常已自動(dòng)卸載”,并隱藏啟動(dòng)圖標(biāo)。
Trick病毒隱藏圖標(biāo)后繼續(xù)在后臺(tái)運(yùn)行監(jiān)聽系統(tǒng)接收短信的廣播。接收到主控手機(jī)187********發(fā)來的短信,解析此短信內(nèi)容發(fā)現(xiàn)它會(huì)執(zhí)行以下操作:
鎖機(jī)指令即是對(duì)用戶手機(jī)進(jìn)行鎖定,全屏置頂一個(gè)勒索的界面,要求用戶聯(lián)系QQ2038******有償解鎖。
短信指令即通過解析主控手機(jī)發(fā)送的短信,獲取要發(fā)送的內(nèi)容和號(hào)碼,并控制用戶手機(jī)在后臺(tái)發(fā)送。
群發(fā)指令即遍歷用戶手機(jī)中所有聯(lián)系人進(jìn)行短信群發(fā),短信內(nèi)容為“http://pre.im/ZxI2下載登錄進(jìn)去填我邀請(qǐng)碼156941 可以領(lǐng)話費(fèi)我已經(jīng)領(lǐng)了30”。該網(wǎng)址下載的就是其自身應(yīng)用,當(dāng)前該鏈接已失效。
該應(yīng)用的圖標(biāo)為中國移動(dòng),配合釣魚短信內(nèi)容,惡意誘導(dǎo)性極強(qiáng)。
Trick病毒通過監(jiān)聽系統(tǒng)接收短信的廣告,將非主控手機(jī)發(fā)送的短信通過郵件實(shí)時(shí)上傳,郵件標(biāo)題為“小偉攔截馬”。
Trick病毒運(yùn)行后會(huì)啟動(dòng)設(shè)備管理器,用戶卸載應(yīng)用之前必須先取消激活設(shè)備管理器。一旦監(jiān)測(cè)到用戶執(zhí)行取消激活設(shè)備管理器的操作時(shí),該病毒會(huì)直接將用戶手機(jī)鎖屏并勒索,勒索界面與以上鎖機(jī)界面相同:
Trick病毒還實(shí)現(xiàn)了Bmob的第三方推送服務(wù)功能,在當(dāng)前的程序中并沒有對(duì)推送消息進(jìn)行處理,可以推測(cè)在后續(xù)的版本中可能會(huì)實(shí)現(xiàn)執(zhí)行更多的指令控制或其他功能。
我們從代碼靜態(tài)分析中得到惡意開發(fā)者發(fā)送指令的主控手機(jī),通過對(duì)主控手機(jī)歸屬地的查詢,可以看到該號(hào)碼號(hào)碼歸屬地為四川德陽市:
我們從代碼靜態(tài)分析中得到惡意開發(fā)者郵箱信息,在郵箱中有蒲公英應(yīng)用分發(fā)平臺(tái)上的賬號(hào),從中可以得知作者的名字和QQ:
通過分析我們還發(fā)現(xiàn)該惡意作者存在對(duì)外兜售攔截馬的行為:
a)通過上一追溯環(huán)節(jié)的結(jié)論,我們得到了惡意開發(fā)者的qq賬號(hào),以下是其qq賬號(hào)個(gè)人資料信息。從下圖可以看到,該開發(fā)者的年齡為18歲(但該信息不一定可靠),初步推斷其為高中生的可能性。
b)通過訪問該qq對(duì)應(yīng)的qq空間,我們看到其空間中展示了某渠道攔截到的受害者短信信息,為該qq與實(shí)際攻擊者進(jìn)行了一次強(qiáng)關(guān)聯(lián),也進(jìn)一步保證了我們通過該qq收集的攻擊者信息的可靠性。
c)該空間中上傳了一些學(xué)校運(yùn)動(dòng)會(huì)的照片,可以推斷出該攻擊者為一名學(xué)生。
d)我們?cè)谄淇臻g中看到了攻擊者發(fā)布的學(xué)校位置的衛(wèi)星圖以及對(duì)應(yīng)的衛(wèi)星拍攝視頻地址。通過查看該衛(wèi)星拍攝視頻,視頻結(jié)尾呈現(xiàn)了視頻制作者姓名,而該姓名與前面追溯環(huán)節(jié)所得到的攻擊者姓名信息完全一致。
e)更為關(guān)鍵的是,該衛(wèi)星拍攝地圖以及空間中的說說信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德陽市下某縣的某所高中,進(jìn)一步印證了攻擊者為高中生的推測(cè)。
綜上,我們可以推斷出該惡意開發(fā)者極有可能是來自四川省德陽市下某高中的一名高中生。
Trick病毒偽裝成中國移動(dòng),以免費(fèi)獲取話費(fèi)的釣魚短信誘導(dǎo)用戶下載并安裝病毒。該病毒運(yùn)行后竊取用戶的短信內(nèi)容并上傳至指定郵箱,同時(shí)向聯(lián)系人群發(fā)釣魚短信進(jìn)行惡意傳播。此外,該病毒通過短信指令遠(yuǎn)控執(zhí)行惡意行為,后續(xù)可能進(jìn)一步形成僵尸網(wǎng)絡(luò)。
Trick病毒雖然沒有竊取用戶賬戶密碼的惡意功能,但從惡意開發(fā)者郵箱內(nèi)的短信內(nèi)容可以合理推斷出該惡意開發(fā)者極有可能通過其他渠道獲取用戶的QQ、微信、甚至銀行賬戶等隱私信息,后續(xù)通過解綁、改密的方式登錄用戶賬戶,對(duì)用戶財(cái)產(chǎn)造成極大的安全風(fēng)險(xiǎn)。
一個(gè)出自高中生之手的病毒技術(shù)如此高明,讓我們深感如今高中生信息技術(shù)水平之高的同時(shí),也警醒我們應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)安全感興趣的年輕人的正向引導(dǎo),將他們的技術(shù)天賦應(yīng)用在對(duì)抗網(wǎng)絡(luò)攻擊上,而不是開發(fā)病毒竊取別人的隱私、財(cái)產(chǎn),否則黑客最終將會(huì)受到法律制裁。
針對(duì)Trick攔截馬病毒,集成AVL反病毒引擎的MIUI安全中心已經(jīng)實(shí)現(xiàn)全面查殺。安天AVL移動(dòng)安全團(tuán)隊(duì)和MIUI安全中心提醒您:
請(qǐng)從正規(guī)的應(yīng)用市場(chǎng)下載應(yīng)用,不要在不知名網(wǎng)站、論壇、應(yīng)用市場(chǎng)下載應(yīng)用
謹(jǐn)慎點(diǎn)擊短信中附帶的鏈接
不要在任何場(chǎng)合隨意泄露自身隱私信息,注重自身隱私保護(hù)
建議在手機(jī)中至少安裝一款殺毒軟件,同時(shí)保持定期掃描的習(xí)慣
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。