首页
社区
课程
招聘
“短信拦截马”黑色产业链与溯源取证研究
发表于: 2015-9-14 11:08 1276

“短信拦截马”黑色产业链与溯源取证研究

2015-9-14 11:08
1276
根据猎豹安全实验室的云端监控数据显示,近1个月截获的“短信拦截”类样本变种数量超过10万,影响用户数达数百万之多。“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。

“短信拦截马”导致网银资金被盗的新闻屡见报端,作为一个安全厂商我们对受害用户的遭遇也深感痛心,这也推动我们在查杀对抗“短信拦截马”的工作中投入更多的努力。在安全对抗过程中我们对“短信拦截马”黑产的运作有了一些了解,在针对黑产团伙进行追踪取证方面也做出了一些尝试,下面把在我们这个过程中产生的一些经验和思考做一个分享,希望可以让用户能够更多地了解和规避此类安全风险,也希望安全圈内有更多的目光可以关注到这个问题。
0x01 典型样本分析

典型的“短信拦截马”从技术原理和实现上看并不复杂,大多通过注册短信广播(BroadcastReceiver)或者观察模式(ContenetObserver)监控手机短信的收发过程,当然也出现一些功能更全面强大的远控类手机木马,短信拦截只是其中的一项功能。网上类似的短信拦截源码也非常多,了解过安卓开发的都可以很快编写出一个“短信拦截马”,这也是“短信拦截马”变种速度快、传播泛滥的一个重要原因。

在我们近期的云端监控中有一类“短信拦截马”变种非常活跃,占据总体样本量的15%左右。该样本使用“stalker”作为配置信息的加密密钥,所以我们将其命名为“潜行者”,下面我们就以它为例对典型“短信拦截马”进行简单的技术分析。

从上图可以看出一个“短信拦截马”的典型功能结构,在我们对“潜行者”样本的分析过程中也发现一些比较有意思的细节,如下:

    出于兼容性考虑,木马同时使用了“广播机制”和“观察者模式”两种方法进行短信拦截。从木马启动的时候检查授权时间也可以看出这个变种是由木马作者开发以后进行外部出售的。

    木马在向控制手机回传部分短信时对敏感关键词进行了过滤替换,防止手机安全软件进行监控拦截。

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//