近期,360移动安全团队发现全球首款专用于网络电信诈骗的Android木马。该木马伪装成“公安部案件查询系统”,集隐私窃取、钓鱼和远控等多种恶意行为于一体,能够在受害人不知情的情况下转走其银行账户中的资金,对手机用户造成了极大的威胁。
摘要
传统网络电信诈骗的过程中,诈骗者必需诱导受害人完成转账;而移动场景下,诈骗者仅依靠植入用户手机的Android木马,就能在受害人不知情的情况下完成远程转账。
Android木马为网络电信诈骗增加了丰富的攻击方法,包括隐私窃取、短信拦截、远程控制和钓鱼等。
传统网络电信诈骗工具包括Web钓鱼网站、PC受控端和后台服务器,诈骗者利用这组工具窃取用户银行账户信息、监控用户PC并诱导用户完成转账。传统网络诈骗的过程中,诈骗者能够成功诱导用户转账是诈骗成功的关键,因而用户感知度比较高。
移动场景下的诈骗过程大致包含六个步骤,其中转账过程不再需要受害人远程发起。
通过对比移动场景和传统PC场景下木马的隐私窃取能力、远控能力以及用户感知度,我们发现移动场景下用户面临的威胁更甚。移动木马的关键技术包括钓鱼攻击、远程控制、短信监控、远程数据自毁、自我保护和隐私窃取。
通过对诈骗工具的研究,我们发现诈骗者正在由传统的使用PC木马转向使用Android木马。代码中的汉字均为繁体,我们据此推测该木马制作团伙习惯使用繁体中文。
网络电信诈骗情报体系由三大块组成:诈骗目标相关情报、诈骗手法相关情报以及资金相关情报。网络电信诈骗团伙分工极为明确,从角色上可粗略分为两大类:制马人和诈骗者。制马人负责木马研发,诈骗者负责实施诈骗。其中诈骗者又分为组织者和一线、二线、三线诈骗人员。
第三方SDK JPush和Apache Cordova被制马人滥用,TeamViewer被制马人篡改为PC远控端。网络电信诈骗的其他风险包括污染搜索引擎资源、损坏用户终端数据以及隐私窃取造成的残余风险。Android木马的“跨界”攻击趋势越来越普遍,正逐渐向更多的传统犯罪产业渗透。
第一章 Android木马现身网络电信诈骗
近期,360移动安全团队发现全球首款专用于网络电信诈骗的Android木马。该木马伪装成“公安部案件查询系统”,集隐私窃取、钓鱼和远控等多种恶意行为于一体,能够在受害人不知情的情况下转走其银行账户中的资金,对手机用户造成了极大的威胁。据此,网络电信诈骗进化到包含移动终端在内的跨平台时期。
一、网络电信诈骗的进化史简介
电信诈骗是指犯罪分子通过电话、网络和短信等方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为[1]。
网络电信诈骗由早期的电信诈骗演变而来。在早期的电信诈骗过程中,诈骗者仅依靠给受害人打电话实施诈骗,诈骗的成功率通常较低。
随着互联网的发展和普及,电信诈骗开始与互联网结合,发展成为网络电信诈骗。在网络电信诈骗的过程中,诈骗者通过打电话、网络钓鱼和PC远控木马三种手段联合实施诈骗,在一定程度上提高了诈骗的成功率。
近几年来,移动智能终端的迅猛发展,网络电信诈骗又一次完成了诈骗手段的进化——将Android木马运用到诈骗的过程中。Android木马的引入,使诈骗场景发生了质的变化。在传统网络电信诈骗的过程中,诈骗者必需诱导受害人完成转账;而引入移动场景之后,诈骗者即使没有成功地诱导受害人完成转账,也能依靠植入用户手机的Android木马,在受害人不知情的情况下完成远程转账。
二、网络电信诈骗的一般过程
360天眼实验室最近发布的《冒充最高检网络电信诈骗之追溯》[2]是网络诈骗最典型的案例,其中描述了网络电信诈骗的一般过程:搜集用户资料、拨打诈骗电话、钓鱼获取用户银行账户信息、诱导用户转账等。其间诈骗者可能诱导用户安装PC端远控木马以获取更多的用户隐私信息,确保成功实施诈骗。
三、Android木马为网络电信诈骗引入新的诈骗手法
Android木马为网络电信诈骗增加了丰富的攻击方法。伪“公安部案件查询系统”软件包含隐私窃取类木马、支付类木马、远控木马和钓鱼木马,其中隐私窃取类木马和远控木马在传统PC端木马中也曾出现过,但是Android隐私窃取类木马和远控木马所能实现的功能远比PC端同类型木马强大,其能够获取与受害人资金和生活密切相关的短信、联系人等隐私信息,并灵活地控制受害人手机的短信收发动作以及通话,所以我们认为Android隐私窃取类木马和远控木马是网络电信诈骗中不同于PC端木马的新型手段。下图橙色部分表示移动场景下新增木马类型:
<img alt="image3.jpg" src="http://image.3001.net/images/20160517/14634558513234.jpg!small" width="690" height="647"></p>
图1.1 移动场景新增木马类型
Android隐私窃取类木马可以窃取受害人手机联系人、短信、通话记录等信息,Android远控木马可以控制受害人手机收发短信、手机黑屏以及拍照回传等等,这些功能是传统网络电信诈骗中PC远控木马所不具备的。最为致命的是移动场景下的支付类木马,可以协助诈骗者在受害人不知情的情况下完成远程转账。在这些强大功能的基础上,诈骗者可以实时了解受害人的情况并控制受害人的手机,完全掌握受害者的一举一动。
<img alt="image4.jpeg" src="http://image.3001.net/images/20160517/14634558633718.jpeg!small" width="690" height="419"></p>
图1.2 新增木马功能示意图
第二章Android木马升级网络电信诈骗威胁
360移动安全团队发现伪“公安部案件查询系统”后,对该诈骗工具背后的团伙进行了持续追踪和研究,发现该团伙已拥有了一套强大的诈骗工具。本章将为大家揭开这些工具的面纱并重点研究移动场景下的诈骗工具和诈骗过程。
一、传统网络电信诈骗工具组合及威胁能力评估
传统网络电信诈骗的一般工具组合为Web钓鱼网站、PC受控端和后台服务器,诈骗者利用这组工具窃取用户银行账户信息、监控用户PC并诱导用户完成转账。在此过程中,诈骗者能够成功诱导用户转账是诈骗成功的关键,因而用户感知度比较高。
(一) Web钓鱼网站
诈骗者通过Web钓鱼网站窃取用户银行账户信息并完成PC远控端木马的投放,用户点击如下页面中的“网上安全检控软件”即下载PC远控端木马。
<img alt="image5.png" src="http://image.3001.net/images/20160517/14634558721802.png!small" width="690" height="666"></p>
图2.1 伪公安部钓鱼网站
(二) PC远控端
PC远控端运行后如下图所示,其实为一个特殊版的Teamviewer。诈骗者通过该定制的远控木马操作用户电脑,以便在诱导用户转账的过程中对用户行为实施远程监控。
<img alt="image6.png" src="http://image.3001.net/images/20160517/14634558868784.png!small" width="276" height="371"></p>
图2.2 PC远控端
(三) 服务器后台
服务器端接收钓鱼网站和PC远控端回传的用户隐私信息。我们发现网络电信诈骗中的服务器多数采用租用境外服务器的方式,以躲避备案和追查。
二、 移动场景下网络电信诈骗过程
移动场景下的诈骗过程大致包含如下六个步骤:
步骤一:诈骗者拨打诈骗电话给受害者。诈骗者冒充公安部工作人员给受害者拨打电话,通报其涉及“XX经济犯罪洗钱案”(或者其他案件),接着告知受害者案件编号为“XXXX”,并让受害者保持电话畅通,等待再次联系。
步骤二:诈骗者发送Android木马下载链接给受害者。诈骗者再次给受害者打电话,并给受害者发送带Android木马下载链接的钓鱼链接——伪“中华人民共和国公安部”网站,该网站打开即开始下载Android木马。诈骗者接着诱导受害人安装Android木马,并输入案件编号查询相关案件和公文,查询结果如下图所示:
<img alt="image7.png" src="http://image.3001.net/images/20160517/14634558941927.png!small" width="690" height="399"></p>
图 2.3经济犯罪查询结果
步骤三:受害者使用木马输入银行账户信息。诈骗者使用伪造的“最高检刑事逮捕令”恐吓成功之后,会进一步诱导受害人进行帐户自清,帐户自清界面如下图所示,其实为一个钓鱼网页,当受害人输入自己的银行帐户信息之后,这些信息会被回传至诈骗者的服务器。
<img alt="image8.png" src="http://image.3001.net/images/20160517/14634559017766.png!small" width="690" height="598"></p>
图 2.4伪帐户自清系统
步骤四:诈骗者使用网银远程发起转账。诈骗者在获得钓鱼网页(Android木马中的帐户自清系统实际为一个内嵌的网页)回传的银行帐户信息之后,使用手机银行远程发起转账。
步骤五:Android木马拦截回传短信验证码。Android木马在截获到银行发送给用户的短信验证码之后回传给诈骗者。
步骤六:诈骗者使用验证码完成转账。诈骗者填入短信验证码完成远程转账,在此过程中,由于银行转账限额限制,诈骗者可能需要实施多次转账,且转账过程用户基本上无感知。
<img alt="image9.jpeg" src="http://image.3001.net/images/20160517/14634559106013.jpeg!small" width="632" height="545"></p>
图2.5 移动场景下的诈骗过程
值得关注的是,当受害者安装木马到手机之后,诈骗者即可远程监控受害者的手机。这意味着移动场景下网络电信诈骗与传统PC场景下的诈骗存在着明显的区别:移动场景下,当诈骗者钓鱼成功——即受害者在钓鱼页面输入了自己的银行账户信息之后,“诱导受害者转账”不再是一个必要的过程,诈骗者完全可以在受害者不知情的情况下利用受害者的网银实施转账。
三、 移动场景与传统场景威胁能力对比
移动终端存储着用户的大量隐私信息,并且时常同用户的资金绑定在一起。控制用户的手机,一方面意味着对用户的隐私有完全的获取能力,另一方面也获得了对用户资金的控制能力。相比之下,用户在PC上存储的信息要少得多,移动场景下用户面临的威胁更甚。我们通过对比移动场景和传统PC场景下木马的隐私窃取能力、远控能力以及用户感知度详细阐述该结论。
(一)隐私窃取能力对比
通过钓鱼获取的隐私信息,如银行账户信息,是两种平台上的木马都能窃取的。至于短信、联系人等移动特性相关的隐私信息,PC木马显然无获取能力。
<img alt="image10.png" src="http://image.3001.net/images/20160517/14634559191287.png!small" width="690" height="346"></p>
图2.6 隐私窃取能力对比
(二) 远控能力对比
无论PC还是移动端的木马都可以实现黑屏和远程数据自毁,但是依然由于移动端的天然优势,Android木马可以拦截短信、通话等,这些是PC木马做不到的。
<img alt="image11.png" src="http://image.3001.net/images/20160517/1463455928721.png!small" width="690" height="210"></p>
图2.7 远控能力对比
(三) 用户感知度对比
网络电信诈骗中诈骗者对受害者实施的主要恶意行为包括隐私窃取、钓鱼和转账,其中实施钓鱼的过程无论在哪个平台上实施都需要用户亲自输入信息,是有用户感知的。隐私窃取均发生在后台,完全无用户感知。而转账过程是体现PC场景与移动场景差异的地方,PC场景下的转账过程需要受害者发起,是有用户感知的,而移动场景下的转账过程完全无需用户参与。
<img alt="image12.png" src="http://image.3001.net/images/20160517/14634559376767.png!small" width="690" height="126"></p>
图2.8 用户感知对比
四、Android木马关键技术揭露
Android木马将网络电信诈骗带入移动场景。相比于PC场景下(仅包含PC远控端木马)的网络电信诈骗,移动场景下的网络电信诈骗手法变得更加灵活和强大,其原因主要是Android木马所能实现的强大功能。
(一) 移动场景下新增诈骗工具
移动场景下的新增诈骗工具主要包括Android木马和控制服务器,其中Android木马具备钓鱼、远控和隐私窃取的能力,控制服务器主要向Android木马下发指令并接收回传信息。
<img alt="image13.png" src="http://image.3001.net/images/20160517/1463456082785.png!small" width="690" height="403"></p>
图2.9 Android木马运行截图
<img alt="image14.jpg" src="http://image.3001.net/images/20160517/14634561117815.jpg!small" width="578" height="304"></p>
图2.10 控制服务器注册手机管理界面
<img alt="image15.jpg" src="http://image.3001.net/images/20160517/14634561361253.jpg!small" width="578" height="558.7333333333333"></p>
图2.11 控制服务器指令管理界面
<img alt="image16.jpeg" src="http://image.3001.net/images/20160517/14634561467830.jpeg!small" width="690" height="92"></p>
图2.12 控制服务器受害人信息管理
(二) 钓鱼攻击
移动端钓鱼页面加载代码使用Apache Cordova[3]实现,Cordova提供了一组设备相关的API,通过这组API,移动应用能够以JavaScript访问原生的设备功能[4]。Android木马启动即会显示钓鱼页面,钓鱼页面通过JavaScript获取设备机型、imei和版本号等信息,回传至控制服务器,完成在服务器端的注册。当受害人在钓鱼页面中输入银行账户信息时,所有信息将会被回传至控制服务器。
<img alt="image17.png" src="http://image.3001.net/images/20160517/14634561541858.png!small" width="690" height="616"></p>
图2.13 钓鱼页使用JavaScript上传信息
(三)远程控制
Android远程控制木马使用极光推送[5]Android SDK实现。极光推送,英文简称 JPush,是一个面向普通开发者开放的,免费的第三方消息推送服务[6]。Android远程控制木马使用JPush实现了设备注册、回传短信、回传联系人、回传通话记录、收发短信、写联系人、激活设备管理器、黑屏、拦截短信、切换通话、截屏回传、恢复出厂设置等指令,我们在控制后台只发现了部分功能,其他功能可能正在测试之中,代码中的“test”关键字也表明有些功能正在测试。
<img alt="image18.png" src="http://image.3001.net/images/20160517/14634561763390.png!small" width="536" height="753"></p>
图2.14 JPush推送接口
(四) 短信监控
短信监控是在远程控制的基础上实现的,木马根据服务器端的控制指令决定是否拦截短信并回传。
<img alt="image19.png" src="http://image.3001.net/images/20160517/14634561851103.png!small" width="690" height="588"></p>
图2.15 短信监控
(五) 远程数据自毁
数据自毁是躲避取证的有效手段之一。诈骗者在完成诈骗之后,通过控制服务器下发特定指令,Android木马接收到指令之后通过调用DevicePolicyManager的wipeData方法将用户手机恢复出厂设置。
<img alt="image20.png" src="http://image.3001.net/images/20160517/14634562025701.png!small" width="343" height="72"></p>
图2.16 清除数据
(六) 自我保护
木马启动之后,为防止被用户卸载,会诱导用户激活设备管理器,如果在启动的过程之中用户没有激活设备管理器,诈骗者仍可以通过控制服务器下发特定指令再次诱导用户激活。
<img alt="image21.png" src="http://image.3001.net/images/20160517/14634562104998.png!small" width="488" height="867"></p>
图2.17 诱导用户激活设备管理器
(七) 隐私窃取
木马收到控制服务器下发指令之后,后台执行相应的动作,回传用户短信、联系人等隐私信息。
<img alt="image22.png" src="http://image.3001.net/images/20160517/14634562205125.png!small" width="690" height="379"></p>
图2.18 窃取隐私
五、网络电信诈骗主平台正由PC向移动过渡
在包含Android远控端的这个工具组合中,服务器端没有任何与PC远控端相关的控制部分,仅包含对Android远控端的控制后台,说明诈骗者正在由传统的使用PC木马转向使用Android木马。
通过对比PC场景下控制后台的菜单与移动场景下控制后台的菜单可以更加清楚地观察到这种变化趋势。后者的一级目录中增加了“注册手机资讯”,即受害者手机信息管理,其中包含多种下发远控指令的按钮。
<img alt="image23.png" src="http://image.3001.net/images/20160517/14634562309013.png!small" width="603" height="314"></p>
图2.19 PC场景和移动场景管理后台对比
第三章背景信息揭露
一、制作者信息
代码中的汉字均为繁体,我们据此推测该木马制作团伙习惯使用繁体中文。
<img alt="image24.png" src="http://image.3001.net/images/20160517/1463456238268.png!small" width="669" height="290"></p>
图3.1 代码中的繁体汉字
二、诈骗情报体系
为提高诈骗的成功率,诈骗者需要搜集各方面的情报。网络电信诈骗情报体系由三大块组成:诈骗目标相关情报、诈骗手法相关情报以及资金相关情报。诈骗者通过黑市购买、网络搜索、木马回传等手段搜集所有这些情报,然后进行筛选、吸收,最后实施诈骗。
<img alt="image25.jpeg" src="http://image.3001.net/images/20160517/14634562475140.jpeg!small" width="690" height="364"></p>
图3.2 诈骗情报体系
(一) 诈骗目标相关情报
诈骗者一般从黑市购买大量诈骗目标相关情报,这些情报包括受害者身份证信息、联系电话以及可能获取到的银行账户信息。
<img alt="image26.jpeg" src="http://image.3001.net/images/20160517/14634562563448.jpeg!small" width="690" height="140"></p>
图3.3 诈骗目标相关情报
(二) 诈骗手法相关情报
诈骗手法即诈骗故事,诈骗者需要编造合理的故事来恐吓受害者,使受害者相信确有其事。诈骗手法中最常见的是冒充公检法、电信、邮政或医保工作人员给受害者打电话,通报其涉及某类案件或问题,进而实施诈骗。所以诈骗者在实施诈骗之前需要充分研究如上案例中的各个方面,具体情报知识体系如下图所示。
<img alt="image27.jpeg" src="http://image.3001.net/images/20160517/14634562651444.jpeg!small" width="690" height="387"></p>
图3.4 诈骗手法相关情报
(三) 资金相关情报
资金是诈骗者实施诈骗的终极目的,也是诈骗者需要充分研究的对象。诈骗者会对各大主流银行的常见操作进行系统地搜集和学习,一方面为了在诈骗过程中灵活地诱导受害者,另一方面他们会尝试寻找银行体系中可利用的流程上的漏洞。此外,ATM、互联网金融产品相关的基本操作和知识也是诈骗者必须掌握的。频繁地小额取款是诈骗者洗钱的一种常见手法,所以要求诈骗者对ATM转账限额、ATM网络分布有详细的了解。
<img alt="image28.jpeg" src="http://image.3001.net/images/20160517/14634562758018.jpeg!small" width="690" height="466"></p>
图3.5 资金相关情报
三、角色划分
网络电信诈骗团伙分工极为明确,从角色上可粗略分为两大类:制马人和诈骗者。制马人负责木马研发,诈骗者负责实施诈骗。
诈骗者包括组织者和其手下不同的“专搞”团队,组织者根据诈骗手法的不同将任务分配给手下不同的“专搞”团队,例如团队A“专搞”经济犯罪,团队B“专搞”邮政,这种划分体系很可能是为了避免在诈骗的过程中出现混乱。
每个“专搞”团队又按任务细分为一线(又称前线)、二线(又称中线)和三线诈骗者。组织者将诈骗任务分拆为三个步骤,分别交给一线、二线和三线的小弟,一线执行完任务后“推给”二线,二线执行完任务后“推给”三线。具体的任务划分可能根据不同的团伙会有所差异。
<img alt="image29.jpeg" src="http://image.3001.net/images/20160517/14634562857087.jpeg!small" width="690" height="556"></p>
图3.6 角色划分
四、小结
诈骗者为躲避公安部门的追踪,一般选择跨境远程拨打诈骗电话,这也是制马人和诈骗者基本都来自境外的原因;由于诈骗者都是境外人员,他们对中国大陆的银行体系、公检法体系等知之甚少,所以需要搜集大量相关情报进行研究。
第四章相关风险分析
一、财产和隐私安全
网络电信诈骗对用户最直接的威胁就是隐私和财产损失。
二、滥用第三方SDK
JPush和Apache Cordova被滥用,一方面表明恶意软件开发者没有遵守合法的软件开发守则,利用合法的第三方SDK开发恶意软件;另一方面也体现了提供开放接口的第三方厂商对于注册开发者的资质审核不够严格,导致信誉低下的开发者使用其提供的SDK接入服务。
(一) 滥用JPush
<img alt="image30.png" src="http://image.3001.net/images/20160517/14634562993728.png!small" width="201" height="359"></p>
图4.1 木马中引入的JPush包
(二) 滥用ApacheCordova
<img alt="image31.png" src="http://image.3001.net/images/20160517/14634563062326.png!small" width="203" height="436"></p>
图4.2 木马中引入的Cordova包
三、篡改第三方工具
PC远控端通过篡改TeamViewer而来,看起来像正规的公安部“网上安全检控软件”,从而能够诱导用户安装。这种篡改第三方工具的行为侵犯了工具所有者的合法权益,违背了工具开发者的原始意图。
<img alt="image32.png" src="http://image.3001.net/images/20160517/14634563158822.png!small" width="561" height="382"></p>
图4.3 TeamViewer与PC远控端
四、系统安全
木马接收服务器下发的特定指令后,可以将用户手机恢复出厂设置,并且恢复出厂设置时,系统会在不发出警告的情况下清除用户手机上的数据,从而实现远程数据自毁。这种远程数据自毁行为严重破坏了用户终端系统的完整性。
<img alt="image33.png" src="http://image.3001.net/images/20160517/14634563226031.png!small" width="486" height="867"></p>
图4.4 激活设备管理器具备清除所有数据的能力
五、资源信誉
使用Google搜索“账户自清系统”第二条即展示伪“中华人民共和国公安部”网站,这种虚假网站污染搜索引擎资源,破坏了搜索引擎资源的信誉度。
<img alt="image34.jpeg" src="http://image.3001.net/images/20160517/14634563305934.jpeg!small" width="690" height="306"></p>
图4.5 Google搜索账户自清系统
六、残余风险
随着远控木马的进化,针对移动终端的远控木马有长期留存用户手机的可能。攻击过后,用户的隐私信息可能再次流入地下黑市,给用户造成长期的不良影响。
第五章 Android木马的“跨界”攻击趋势
此款专用于网络电信诈骗的Android木马,并非Android木马第一次“跨界”传统犯罪产业。Android木马“跨界”传统犯罪产业已经变得越来越常见,如Android勒索软件、Android色情软件以及Android刷流量软件等。
一、Android木马“跨界”电信诈骗
360移动安全团队于2016年3月捕获到第一个专用于网络电信诈骗的Android木马,这意味着Android木马已经进入电信诈骗领域。
二、Android木马“跨界”勒索敲诈
2014年5月Android平台首次出现勒索软件[7],此后Android勒索软件作者对用户的敲诈从未中断。2015年全年国内超过11.5万部用户手机被感染,2016年第一季度国内接近3万部用户手机被感染。2015年国内用户因Android勒索软件遭受的损失达到345万元,2016年第一季度国内用户因Android勒索软件遭受的损失接近90万[8]。
三、Android木马“跨界”色情产业
色情播放器已成为Android木马最常见的传播媒介,舞毒蛾[9]、百脑虫[10]等木马均是以色情播放器为媒介进行传播。
色情播放器本身会借助恶意广告进行传播,如道有道恶意广告[11],该广告推广色情软件的行为曾被3.15曝光。
四、Android木马“跨界”流量作弊产业
流量僵尸木马[12]是Android木马“跨界”流量作弊产业最为典型的案例,此类木马在用户每次滑动解锁手机屏幕时都会在后台进行一次静默刷流量操作,若手机安全软件未对此类木马进行查杀,则仅我们发现的44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量,约可占国内最大搜索引擎日均搜索请求量的68%。
附录:参考文献
[1]电信诈骗的定义
[2] 冒充最高检网络电信诈骗之追溯
[4]Cordova简介
[5]极光推送官网
[6]极光推送简介
[7]Police Locker land on Android Devices
[9] “舞毒蛾”木马演变报告
[10] “百脑虫”手机病毒分析报告
[11] “道有道”的对抗之路
[12] 流量僵尸木马及流量黑产分析报告
发表评论