2015年06月29日 22:08 5268
回顧:
而近日阿裡錢盾發現一款僞裝“學生成績單”、“成績單”的變種木馬--代理人,來誘騙使用者中招。
與往常的竊取短信木馬不同,該“代理人”變種木馬使用了更隐秘的傳播方式--代理人,當使用者安裝木馬後,木馬不僅會把使用者短信、聯系人等敏感内容實時發送到遠端伺服器,還會通過接收不法分子的遠端指令給其他使用者發送帶有木馬連結的誘騙短信,而其他使用者看到的帶有木馬連結的短信發送者卻是前一個受害者,不法分子卻隐藏在背後無人知曉。
一、木馬概述
該木馬的主要特點是:以安裝該木馬的受害人為代理人,木馬開發者通過短信指令遠端控制已種木馬的該代理人手機給指定的号碼發送惡意短信,如木馬下載下傳連結等,在朋友圈内惡意傳播木馬軟體竊取隐私。隐藏在幕後的黑客在遠端控制毫不知情的代理人;凡是被該木馬控制的手機,使用者隐私資訊均被竊取,危害極大。
二、木馬分析
2.1 該木馬安裝在手機上後的桌面圖示及激活裝置管理器的運作界面:
2.2 “代理人”木馬同樣會誘導使用者激活裝置管理器、激活之後隐藏桌面圖示;這樣就讓使用者放松了警惕,同時增加解除安裝的難度;以確定不發分子竊取使用者隐私資訊:
2.3 "代理人"木馬安裝成功後同樣會以短信、上傳到服務端兩種方式,來提示黑客“服務啟動”。
我們通過抓包工具對安裝該木馬的真機進行抓包分析,将抓包截圖與代碼截圖分享如下:
2.4 該木馬運作後會非法竊取手機使用者的隐私資訊,如:手機通訊錄、短信收件箱、短信發件箱等隐私資訊并回傳到木馬開發者指定的伺服器:
2.4.1 該木馬會非法竊取手機使用者的短信收件箱的所有短信,并全部上傳到木馬開發者指定的伺服器,供不法分子提取重要隐私資訊以達到非法牟利:
2.4.2 該木馬同樣也會非法竊取短信發件箱的所有短信,并上傳到木馬開發者指定的伺服器,以供木馬開發者分析而進一步非法牟利:
2.4.3 該木馬也會竊取使用者的聯系人,并且上傳到遠端服務端,給黑客提供進行發展下一個代理人的目标對象,黑客通過掌握的資訊騙取受害者的錢财,同時借助受害者的信譽在其朋友圈招搖撞騙。
總之,該木馬會非法竊取使用者的隐私資訊并回傳到木馬開發者指定的伺服器,具體上傳到服務端的代碼邏輯截圖如下:
2.5 不法分子通過短信指令進行遠端操控安裝該木馬的使用者,木馬軟體通過解析短信指令,提取指令中的手機号碼和惡意短信,并攔截該條指令短信。然後再按照解析出的惡意短信内容,利用該代理人中木馬病毒的手機發送到指令中指定的手機号碼.該木馬的惡意行為的特點在于通過被害人代理的方式發送包含木馬下載下傳連結的惡意短信、或者其它詐騙資訊;不法分子既實作了保護自己、又提高詐騙、木馬傳播的成功率:
2.6 黑客通過該代理人木馬實施非法牟利的邏輯流程圖如下圖所示:
三、總結:
此款木馬特點是以受害人作為代理去發送短信連結的形式傳播,會誘導使用者去點選下載下傳安裝進而造成使用者隐私洩露,存在極大的安全隐患。阿裡錢盾團隊提醒您,不要輕易點選短信中連結,特别是來自熟悉朋友發來的連結,以避免受到手機病毒的危害。此外,針對此類手機病毒,阿裡錢盾已經實作完美阻斷清除。如下圖所示:
本文來自合作夥伴“阿裡聚安全”.