网站首页 > 2017第一季度安卓短信扣费木马研究 七成扣费木马以”用户的名义”骗取话费

2017第一季度安卓短信扣费木马研究 七成扣费木马以”用户的名义”骗取话费

时间 :2017/11/13 标签 : 安全报告 杀毒软件 安全隐患 浏览量 : 3461
隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。

 


一、摘要

1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。

       隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。

1.2 短信扣费类木马分为两大流派。

       势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。

1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。

       本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费通道,SP不死就可以持续扣费,目前主流的短信扣费以云端获取为主,木马通常还自带清理现场的功能。

 

 

1.4 从产业链上看,SP代理商,流量商,以及开发者是产业链中的主要角色。

       开发者从SP代理商获取到SP扣费信息植入到应用中,然后从流量商手中购买流量将恶意应用安装到用户手机,最终通过订阅各类SP服务变现。

1.5 短信扣费木马的主要传播渠道主要有五种。

       从传播渠道看,主要有游戏破解网站、软件下载站、广告联盟、部分应用市场以及一些地下黑流量推广(比如通过色情播放器传播)。

1.6 从拦截的短信扣费木马的家族看,有能力大规模传播的还是少数。

       目前腾讯反诈骗实验室通过海量样本分析发现,短信扣费木马主要包含有以下病毒家族:

 

 

二、背景

2.1 用户安装盗版或者修改版游戏被恶意扣费

 

 

2.2 首起恶意扣费软件案涉案金额6700万元

 

2.3 话费支付的正确打开方式和恶意实现

 

 

三、短信扣费木马影响面

3.1 用户感染趋势变化

3.1.1 今年1月份开始感染用户开始飙升,并且逐步处于稳步微增的阶段

 

3.1.2 从感染区域分布看,从大到小排序 广东,四川,河南,湖南,江苏,贵州,广西等

 

3.1.3 短信扣费木马变化趋势

       从收集样本数看,短信扣费木马样本数处于增长趋势,4月份尚未过半,样本收集量已经接近3月份的总量。

 

3.2 扣费恶意代码寄生的应用类型

 

 (1) 刚需色情,用户主动下载或被推广安装 

 

(2) 娱乐游戏,用户主动下载或推广安装

 

 

(3) 无图标或者伪装系统应用,通过恶意推广或ROM内置

              

 

3.3 主要传播渠道

(1) 恶意广告推广:用户访问小说、视频网站弹出的恶意广告。

                 

(2) 应用市场:这些应用市场对于应用的安全性要求较低,恶意应用很容易就可以上架传播。

(3) 软件或游戏下载站:提供各种破解,修改版应用下载,存在一些诱导下载广告位或恶意应用下载。

 

(4) 暗流量:已经潜伏在用户电脑内的恶意应用,通过弹窗,诱导提示或者静默自动推广。

(5) ROM内置:通过与一些山寨机合作直接植入到ROM内,或在终端出厂后在销售环节植入。

3.4 传播四步骤

* 木马作者通过SP代理商获取获得扣费通道。

* 木马作者将恶意扣费代码封装到恶意应用。

* 木马作者购买流量,通过各种渠道将恶意应用推广安装到用户手机。

* 用户手机中招,通过SP订阅服务,木马作者牟利,各方按照协议进行分成皆大欢喜.。

 

4 流行短信扣费木马家族

4.1 短信扣费五大家族

 

4.2 各家族的技术点对比

 

4.3 游戏土匪

       此类型是目前最常见的类型,影响面也是最广的。通常手段是重打包其他游戏,植入扣费项目,在用户游戏过程中频繁弹出诱导性弹框,经常使用“礼包”,“领取”,”免费”,”优惠”等字眼诱导用户点击,并故意弱化收费提示,让用户误以为可以免费领取,用户点击后将通过话费购买道具。

       此类型木马因为来钱快属于暴利行业,为了提升扣费的用户体验以及对抗检测一直处于攻防对抗中,扣费信息从一开始本地硬编码,到如今普遍通过云端控制下发;扣费弹框的提示逐渐弱化扣费提示信息,以诱骗更多的用户点击。

【弱化提示】:扣费提示人眼可见,但是可以放在用户不容易注意的地方。

 

 

【背景色隐藏】:将扣费隐藏在浅色背景中,刻意突出游戏按钮。

 

【游戏过程中扣费提示】:用户玩的如痴如醉,脑袋犯浑的时候,要不要扣个费玩玩? 

 

【游戏过程中道具】:要想变得更强,装备当然得升级下,当然变强的机会你需要你的手机话费充足。

 

【进击的用户体验】:用户越来越小心,收入下降了怎么办,于是小伙伴的眼睛就变瞎了T_T

 

4.4 梵偷

4.3.1 家族简述

       该家族通常伪装成色情软件诱骗用户下载安装,同时它也会有一切其它恶意程序合作通过ROOT等强制安装方式将无图标的扣费木马强制安装到用户设备,安装成功了通过云端获取SP扣费信息,伺机窃取用户的话费。常见软件名有魅影视频,美女看看,禁播视频,禁片大全,无码神播。

 

4.3.2 技术点分析

(1) 从云端通过接口获取扣费信息,如扣费短信信息,包括目标号码,发送内容,发送间隔,拦截确认短信的关键词等信息。

 

解码后得出下列url:

http://139.196.36.***:8123/alp***/servlet/GetFeeInfo

http://139.196.36.***:8123/alp***/servlet/ADGetWapCfg

http://139.196.36.***:8123/alp***/servlet/GetWapUpload

 

(2) 启动后,启动activity调用方法检测app状态。

 

(3) 写入配置信息。

配置文件filter.data的信息。

 

Filter.data的部分内容如下:

 

          

(4) 接收不同action执行不同的操作。

 

(5) 接收action=com.android.sdk.rev.cmd.WapCfgCust后获取扣费信息。

 

 

(6) 抓包抓到从pay/servlet/ADGetWapCfg返回短信扣费的信息,如下:

 

 

(7) 读取并解析从网络端返回的数据。

 

 

(8) 解析数据后将扣费短信信息传送到SyncaService,设置渠道id并发送扣费短信。

 

 

 

(9) 监听接收短信广播,与Filter.data中的关键字内容进行比较,判断是否进行拦截及获取须回复的确认短信内容。

 

从Filter.data文件中cnfinfo_rule字段获取确认短信内容,并发送确认短信。

 

4.3.3 家族溯源信息

通过木马获取扣费信息的服务器域名进行溯源。

 

此人曾收sp业务壳,具有很大嫌疑。 

4.4云偷

该家族伪装成色情播放器或系统应用进行传播,通过色情诱导下载或者恶意病毒安装到用户设备上,成功安装后将通过云端获取SP扣费信息,窃取用户话费.同时该家族还存在私自下载推广其它应用的行为.

 

4.4.1 病毒运行流程

 

4.4.2 技术点分析

(1) 样本启动后初始化信息

 

(2) Com.ks.bjt.a.g加载assets/kx调用com.kx.c.KXU

 

(3) Com.ks.bjt.a.g的a()到o()别对应com.rt.m.Mh.KXU中的a()到o()方法,分别进行获取广告资源,私自下载其他软件,私自发送短信,创建桌面快捷方式,检测手机运营商信息等操作。

 

(4) com.rt.m.Mh.KXU中各个方法对应的行为。

 

(5) o(Context)方法调用excHqSPs方法从服务器获取扣费短信信息。

 

从服务器http://ldjk.t***oft.com/sp/getSPCode获取扣费短信信息。

 

从网络端返回的扣费短信信息,包括运营商,号码,信息内容,拦截短信关键词,地区等信息:

 

调用isCheckDay方法对比pre_file_name文件中的值是否过时。

 

pre_file_name文件内容:

 

调用saveSp方法,创建数据库sm.db,并把从网络端获取的数据经过筛选后保存进数据库。

 

数据库sm.db的内容:

 

(6) e(Context)方法调用doSm(context)方法读取数据库中的扣费短信信息并发送短信。

 

 

拦截包含关键词的短信。

 

4.5 笨偷

此家族主要伪装成系统应用,并且主要通过其它恶意程序进行传播,病毒成功安装后即向本地配置的SP号码发送扣费信息,导致用户话费被窃取。

该木马启动后通过onCreat方法中判断手机网络的标识号,根据其标识号发送对应的扣费短信内容到对应的号码,短信发送后弹出“程序错误”的信息。同时成功发送扣费信息后将隐藏图标避免用户发现。

4.6 截偷

    主要伪装成游戏或者工具类应用进行传播,该木马在本地配置了一些固定的SP扣费信息,木马成功安装后将根据运营商发送特定的SP扣费短信,伺机窃取用户话费,扣费完成后会删除相关的扣费短信避免用户发现异常。

 

(1) 软件启动后启动服务MainService和 ForListen。

 

 

(2) MainService判断手机运营商类型,分别调用Sms1,Sms2,Sms3私自发送短信。

方法Sms1():

 

方法Sms2():

 

方法Sms3():

 

(3) 广播接收器Forboot拦截指定短信。

 

(4) 删除用户手机短信记录中的指定号码记录。

 

5 清理方案

使用腾讯手机管家卸载病毒即可清除,部分安装到手机系统的木马需要授予root权限。

 

 

6 安全建议

6.1 检查每个应用程序的权限:安装一个Android应用程序时,需要先确认程序所申请的权限,警惕短信相关的权限申请,一些手机厂商内置有权限管理软件,建议禁用非正规软件的短信权限以减少风险。 

6.2 安装安全软件并保持更新:安装腾讯手机管家之类的安全软件,可以及时发现木马病毒并帮助清除。

6.3 从正规应用程序商店下载软件:Android应用市场鱼龙混杂,许多不正规的应用市场上线软件时并未经过安全检测,因此存在许多安全隐患,不要在小网站下载破解,修改版程序以减少风险。

6.4 从正规渠道购买手机:建议用户在购买新手机时应尽量选择大型正规卖场,避免手机系统被装入恶意预装软件。

6.5 养成产看账单详情的习惯:建议用户在账单日及时查看消费详情的,及时发现可疑的扣费信息。