本文原標(biāo)題《Trick蠕蟲病毒來襲！幕后主使竟是一名高中生“黑客”！》,作者：安天AVL&小米安全中心，轉(zhuǎn)載自安天AVL移動(dòng)安全團(tuán)隊(duì)公眾號(hào)，雷鋒網(wǎng)已獲授權(quán)轉(zhuǎn)載。

近期，安天AVL移動(dòng)安全團(tuán)隊(duì)和小米MIUI安全中心發(fā)現(xiàn)一款攜帶勒索功能的攔截馬Trick，經(jīng)過樣本溯源發(fā)現(xiàn)，該病毒竟出自國內(nèi)一名高中生之手。該病毒偽裝成中國移動(dòng)，以免費(fèi)獲取話費(fèi)的短信誘惑用戶下載安裝。

該病毒運(yùn)行后會(huì)執(zhí)行以下惡意行為：

• 竊取用戶短信并上傳到指定郵箱；

• 根據(jù)短信指令鎖定手機(jī)進(jìn)行勒索；

• 根據(jù)遠(yuǎn)程短信指令遍歷聯(lián)系人，并向所有聯(lián)系人群發(fā)附帶惡意下載鏈接的釣魚短信進(jìn)行惡意傳播；

• 一旦發(fā)現(xiàn)用戶執(zhí)行卸載此惡意軟件的操作，該病毒會(huì)直接鎖定用戶手機(jī)，并對(duì)用戶進(jìn)行勒索。

病毒運(yùn)行流程圖如下：

病毒行為詳細(xì)分析

1.竊取用戶短信信息

Trick病毒程序運(yùn)行后，首先獲取用戶手機(jī)中的所有短信，以郵件正文的形式上傳至指定郵箱，同時(shí)還會(huì)將短信內(nèi)容寫入txt文件中，通過郵箱上傳，郵件標(biāo)題為“短信”。

通過對(duì)Trick病毒樣本的溯源，我們發(fā)現(xiàn)了該惡意開發(fā)者的郵箱信息，在郵箱中發(fā)現(xiàn)大量感染用戶的隱私信息，其中以各類短信驗(yàn)證碼最為常見。

雖然該病毒樣本本身并沒有竊取用戶賬戶信息的功能，但是考慮到目前大量的隱私信息被泄露，惡意開發(fā)者極有可能通過其他渠道獲取到感染手機(jī)QQ、微信、銀行卡賬戶等信息，后續(xù)通過短信攔截馬執(zhí)行解綁、改密、轉(zhuǎn)賬等操作。

• 更換微信綁定關(guān)系：

• 更換平安普惠設(shè)備驗(yàn)證碼：

• 更換QQ號(hào)綁定手機(jī)：

• 銀行轉(zhuǎn)賬驗(yàn)證碼：

• 訂購騰訊業(yè)務(wù)：

• 微信支付驗(yàn)證碼：

• 更改銀行預(yù)留電話驗(yàn)證碼，開通手機(jī)銀行：

• SP訂閱：

2.激活設(shè)備管理器

運(yùn)行后，Trick病毒會(huì)誘導(dǎo)用戶激活設(shè)備管理器，若用戶成功激活設(shè)備管理器，則會(huì)提示用戶重啟軟件：

3.隱藏圖標(biāo)

激活設(shè)備管理器后，Trick病毒會(huì)彈出虛假對(duì)話框，提示虛假信息“程序異常已自動(dòng)卸載”，并隱藏啟動(dòng)圖標(biāo)。

4.接收短信指令進(jìn)行遠(yuǎn)控行為

Trick病毒隱藏圖標(biāo)后繼續(xù)在后臺(tái)運(yùn)行監(jiān)聽系統(tǒng)接收短信的廣播。接收到主控手機(jī)187********發(fā)來的短信，解析此短信內(nèi)容發(fā)現(xiàn)它會(huì)執(zhí)行以下操作：

指令1：鎖機(jī)

鎖機(jī)指令即是對(duì)用戶手機(jī)進(jìn)行鎖定，全屏置頂一個(gè)勒索的界面，要求用戶聯(lián)系QQ2038******有償解鎖。

指令2：短信

短信指令即通過解析主控手機(jī)發(fā)送的短信，獲取要發(fā)送的內(nèi)容和號(hào)碼，并控制用戶手機(jī)在后臺(tái)發(fā)送。

指令3：群發(fā)

群發(fā)指令即遍歷用戶手機(jī)中所有聯(lián)系人進(jìn)行短信群發(fā)，短信內(nèi)容為“http://pre.im/ZxI2下載登錄進(jìn)去填我邀請(qǐng)碼156941 可以領(lǐng)話費(fèi)我已經(jīng)領(lǐng)了30”。該網(wǎng)址下載的就是其自身應(yīng)用，當(dāng)前該鏈接已失效。

該應(yīng)用的圖標(biāo)為中國移動(dòng)，配合釣魚短信內(nèi)容，惡意誘導(dǎo)性極強(qiáng)。

5.實(shí)時(shí)上傳短信

Trick病毒通過監(jiān)聽系統(tǒng)接收短信的廣告，將非主控手機(jī)發(fā)送的短信通過郵件實(shí)時(shí)上傳，郵件標(biāo)題為“小偉攔截馬”。

6.卸載程序鎖機(jī)

Trick病毒運(yùn)行后會(huì)啟動(dòng)設(shè)備管理器，用戶卸載應(yīng)用之前必須先取消激活設(shè)備管理器。一旦監(jiān)測(cè)到用戶執(zhí)行取消激活設(shè)備管理器的操作時(shí)，該病毒會(huì)直接將用戶手機(jī)鎖屏并勒索，勒索界面與以上鎖機(jī)界面相同：

7.第三方推送服務(wù)

Trick病毒還實(shí)現(xiàn)了Bmob的第三方推送服務(wù)功能，在當(dāng)前的程序中并沒有對(duì)推送消息進(jìn)行處理，可以推測(cè)在后續(xù)的版本中可能會(huì)實(shí)現(xiàn)執(zhí)行更多的指令控制或其他功能。

惡意開發(fā)者追溯

1.追溯惡意開發(fā)者主控手機(jī)號(hào)碼以及地域信息

我們從代碼靜態(tài)分析中得到惡意開發(fā)者發(fā)送指令的主控手機(jī),通過對(duì)主控手機(jī)歸屬地的查詢，可以看到該號(hào)碼號(hào)碼歸屬地為四川德陽市：

2.追溯惡意開發(fā)者SNS賬號(hào)信息及姓名

我們從代碼靜態(tài)分析中得到惡意開發(fā)者郵箱信息,在郵箱中有蒲公英應(yīng)用分發(fā)平臺(tái)上的賬號(hào)，從中可以得知作者的名字和QQ：

通過分析我們還發(fā)現(xiàn)該惡意作者存在對(duì)外兜售攔截馬的行為：

3.進(jìn)一步判斷惡意開發(fā)者身份

a)通過上一追溯環(huán)節(jié)的結(jié)論，我們得到了惡意開發(fā)者的qq賬號(hào)，以下是其qq賬號(hào)個(gè)人資料信息。從下圖可以看到，該開發(fā)者的年齡為18歲（但該信息不一定可靠），初步推斷其為高中生的可能性。

b)通過訪問該qq對(duì)應(yīng)的qq空間，我們看到其空間中展示了某渠道攔截到的受害者短信信息，為該qq與實(shí)際攻擊者進(jìn)行了一次強(qiáng)關(guān)聯(lián)，也進(jìn)一步保證了我們通過該qq收集的攻擊者信息的可靠性。

c)該空間中上傳了一些學(xué)校運(yùn)動(dòng)會(huì)的照片，可以推斷出該攻擊者為一名學(xué)生。

d)我們?cè)谄淇臻g中看到了攻擊者發(fā)布的學(xué)校位置的衛(wèi)星圖以及對(duì)應(yīng)的衛(wèi)星拍攝視頻地址。通過查看該衛(wèi)星拍攝視頻，視頻結(jié)尾呈現(xiàn)了視頻制作者姓名，而該姓名與前面追溯環(huán)節(jié)所得到的攻擊者姓名信息完全一致。

e)更為關(guān)鍵的是，該衛(wèi)星拍攝地圖以及空間中的說說信息中，披露了一所高中的校名以及地理位置。其指向的是四川省德陽市下某縣的某所高中，進(jìn)一步印證了攻擊者為高中生的推測(cè)。

綜上，我們可以推斷出該惡意開發(fā)者極有可能是來自四川省德陽市下某高中的一名高中生。

總結(jié)

Trick病毒偽裝成中國移動(dòng)，以免費(fèi)獲取話費(fèi)的釣魚短信誘導(dǎo)用戶下載并安裝病毒。該病毒運(yùn)行后竊取用戶的短信內(nèi)容并上傳至指定郵箱，同時(shí)向聯(lián)系人群發(fā)釣魚短信進(jìn)行惡意傳播。此外，該病毒通過短信指令遠(yuǎn)控執(zhí)行惡意行為，后續(xù)可能進(jìn)一步形成僵尸網(wǎng)絡(luò)。

Trick病毒雖然沒有竊取用戶賬戶密碼的惡意功能，但從惡意開發(fā)者郵箱內(nèi)的短信內(nèi)容可以合理推斷出該惡意開發(fā)者極有可能通過其他渠道獲取用戶的QQ、微信、甚至銀行賬戶等隱私信息，后續(xù)通過解綁、改密的方式登錄用戶賬戶，對(duì)用戶財(cái)產(chǎn)造成極大的安全風(fēng)險(xiǎn)。

一個(gè)出自高中生之手的病毒技術(shù)如此高明，讓我們深感如今高中生信息技術(shù)水平之高的同時(shí)，也警醒我們應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)安全感興趣的年輕人的正向引導(dǎo)，將他們的技術(shù)天賦應(yīng)用在對(duì)抗網(wǎng)絡(luò)攻擊上，而不是開發(fā)病毒竊取別人的隱私、財(cái)產(chǎn)，否則黑客最終將會(huì)受到法律制裁。

安全建議

針對(duì)Trick攔截馬病毒，集成AVL反病毒引擎的MIUI安全中心已經(jīng)實(shí)現(xiàn)全面查殺。安天AVL移動(dòng)安全團(tuán)隊(duì)和MIUI安全中心提醒您：

• 請(qǐng)從正規(guī)的應(yīng)用市場(chǎng)下載應(yīng)用，不要在不知名網(wǎng)站、論壇、應(yīng)用市場(chǎng)下載應(yīng)用

• 謹(jǐn)慎點(diǎn)擊短信中附帶的鏈接

• 不要在任何場(chǎng)合隨意泄露自身隱私信息，注重自身隱私保護(hù)

• 建議在手機(jī)中至少安裝一款殺毒軟件，同時(shí)保持定期掃描的習(xí)慣

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。