欺诈木马伪基站+伪10086让人防不胜防
背景近几年,随着智能机的迅速普及,以及移动互联网的快速发展,人们的生活方式也随之发生了翻天覆地的变化。其中一个明显变化就体现在手机话费充值上,过去人们可能需要去营业厅,或者通过购买手机卡进行充值缴费,而现如今只需要下载一个中国移动的app,即可在手机上方便的完成操作。但是这也给一些不法分子带来了可乘之机,今日,哈勃分析平台就发现了一款用10086.apk命名,诱导用户安装的手机病毒。
危害及传播我们从黑客的邮箱中查看到了病毒收集到的用户短信等信息。
由上图可以看到,中招用户的身份证号,淘宝的账号和密码,支付宝的支付密码,甚至是银行卡的卡号和密码都被泄露。如果被不法分子利用,后果不堪设想。另外通过查看受害人的短信,发现受害人短信中都会有一条10086发来的积分兑换的短信。
仔细查看,惯用手段,用l替换1。由此推测,传播途径应该是通过“伪基站”的方式诱骗用户下载安装的。登陆到l0086vdf.cn 后,界面内容为下图。
在第二步中,银行卡的账号密码,身份证等信息会被窃取。在最后一步中,会下载恶意apk,并诱骗用户安装。经过whois反查l0086vdf.cn的信息,可以看到此注册人不仅注册了10086的欺骗网站,还有95533建设银行,95508广发银行,appereid-apple.com等虚假网站。可见此人“ 未雨绸缪”,准备后续工作了。
像这种窃取用户通讯录和短信的病毒已经不是第一次出现了,在过去的一年里,频繁登上头条。
在过去几次大的传播中,病毒一般是通过遍历通讯录名单,逐一发短信来诱骗其他用户安装。而本次10086.apk,则是通过“伪基站 ”的方式假冒10086发送短信,除了安装apk,同时也通过钓鱼网页的方式盗取银行卡账号,密码身份证等信息,手段多样,危害变大。
病毒行为介绍及详细分析病毒的整体运行流程如下图所示
当用户将app安装到手机后,病毒app的图标冒充为中国移动的图标,欺骗用户
当用户点击后,病毒会将手机的IMEI,版本信息等通过短信的方式发送到指定号码。
并且将此短信删除,防止用户发觉到异常。
随后病毒将用户手机中短信和通讯录内容通过邮箱发送出去,这样便获取到了用户的私人信息。当病毒发现通讯录中有叫张三或者悟空的人时,便取消了发送邮件的操作。可能考虑这类用户不是真实的用户。
我们通过发件时邮箱的账户名和密码,登陆后发现,最近中招的人非常多 。
仅半天就有25封邮件,并且短信内容,通讯录全都被黑客掌握,这些信息如果被二次出售,或被作为诈骗信息恶意利用,后果不堪设想 。
病毒试图获取设备管理器权限,并弹出“安全控件,请允许激活”的窗口,误导用户点击激活。
无论用户点击了激活还是取消,病毒都会弹出“设备不兼容,软件安装失败”的提示,并将桌面图标删除,但其实程序仍在运行。并且将用户的选择结果通过短信发送给黑客。
如果用户激活了设备管理器,则病毒会在用户取消设备管理器权限时,通过一定的手法来阻止用户的操作。手法类似于去年流行的android木马OBAD。
病毒同时会启动bootService服务, 在bootService中,会注册短信广播,并启动一个定时器,启动SecondService,定时检测bootService 是否还存在。如果被杀死,则会再次启动bootService。
在短信广播中,病毒对短信号码进行判断,如果是自己发送来的,会根据指令读写数据库,获取手机信息等操作。
如果不是自己发来的控制短信,则会将短信内容,发送给黑客。并替换一些较敏感的词汇。
另外病毒还注册了开机广播,实现开机自启等功能。
黑夜中,一辆伪装过的面包车停在了河北省清河县里一条偏僻的胡同中,车顶上一条不起眼的天线,车内黑乎乎的,只有不断闪烁的绿色按钮,还有红色的微光在一闪一灭,那是里面的人在不停地抽烟。
这看起来寻常的一幕,却掩盖着罪恶的勾当。一条条诈骗短信,正是通过车内的机器不停地被炮制,又通过车顶的天线,不断地向当地用户发过去。而车内坐着的董某、侯某和张某不过是电信诈骗的“操作手”,这一团伙的头目为“90后”田某。他们共有四台伪基站,每天发送诈骗信息达30余万条,获利几十万元。自2015年9月开始,夏津县公安局专案组民警为了将这个电信诈骗网络一层层地剥开,先后赴河南、重庆、云南等地进行调查取证,通过与当地警方合作,现已将这一犯罪网络中的一名较高级别的“中间人”抓获。
19岁小伙买伪基站发送诈骗短信
2015年7月,德州警方破获了一起容留他人吸毒的案件,除犯罪嫌疑人外,现场还抓获了几名正在吸毒的人员。德州市公安局禁毒民警提审了吸毒人员吕某,吕某曾因吸毒被强制戒毒,但是出来后不久又复吸,这次被当场抓获。
为争取从轻处理,吕某供出了一个电信诈骗团伙,犯罪嫌疑人田某,夏津县人,刚满19岁,戴一副眼镜,看上去白净文弱的样子,虽然只有中专学历,也无正当职业,却是同龄人中小有名气的“能人”。两年前开了一个店面,朋友们评价他“胆子大、敢干、脑子活”。
据吕某供述,在店面关门后,田某就开始进行电信诈骗,从中牟利。
2015年的五六月份,店面倒闭后,田某每天流连于网吧,渐渐手头拮据,于是他就琢磨着捞点钱花,但他不愿老老实实靠劳动挣钱,就开始动歪脑筋。一天,他在网吧玩游戏,之后顺手就点开了QQ,输入“发财”,进行“群”搜索,一下子出现了几十个相关的群,他随便申请进了一个“接单群”,群主叫“宇哥”,添加好友后,“宇哥”明确告知,这个群是做“接单”的,就是利用伪基站发送诈骗短信,按照发送的数量支付报酬。田某觉得找到了快速来钱的道,两人很快商定了“合作”事宜:田某按照“宇哥”提供的地址,赶到济宁以2000元的价格,购买了一套伪基站发射设备。
“宇哥”不光卖货,还包教包会,通过QQ手把手教田某操作方法。田某虽好吃懒做,但是很聪明,没几天就学会了操作方法。他改装了一辆面包车,将伪基站设备架设到车上,他还将一个叫董某的朋友拉了进来,田某安排董某开着车、带着伪基站设备去德州、济南、聊城、江苏等地发送诈骗信息,“宇哥 ”按伪基站数以每台1250-1400元不等向田某转账,田某支付董某每天1000元的工资。
2015年7月,尝到甜头的田某又买了三套伪基站设备,并拉拢了侯某、张某两人,每人每天报酬也是1000元。侯某、张某携带设备到山东、江苏、浙江、河南、安徽等地,日夜不停地发送诈骗短信。这几个人都是“90”后,年龄最小的张某只有17岁。
警方顺藤摸瓜抓获末端犯罪嫌疑人
案件转至夏津县公安局后,专案组即刻成立。通过初期侦查,警方发现田某只是这个犯罪网络的一个小节点,抓捕他和几个手下很容易,但隐藏在其背后的黑色利益网,才是真正的根源,警方决定先按兵不动,再铺开一张大网,顺藤摸瓜,斩断这条黑色利益链。
伪基站,就是冒充电信运营商的基站,通过发送短信的方式,让受害人误以为是电信运营商发来的信息,是电信诈骗的一种。由于电信诈骗针对不特定人群,采用的方法主要有:使用冒充、恐吓等方式,设法让受害人往某账户里汇款,受害人被诈骗短息所蒙骗,误以为对方是亲友或国家机构,把钱汇到指定账户;或者诱使受害人点开一个链接,通过伪装的网站告知中奖信息,要求先汇手续费等骗取钱财;再就是通过有毒链接植入木马,盗取用户的账号密码信息。
电信诈骗一般分工明确,有专门设计假冒网站的,有与被害人接触的,有发布诈骗信息的,还有专门取款的。田某就是这个黑色利益链条中负责发布诈骗信息的最后一个环节——“操作手”,接下来,就是幕后的骗子坐等受害人上钩了。
为躲避警方的侦查,田某让董某等人开车打起了“游击战”,然而他的一切活动,都已在警方的监控之中。
警方截获了田某发出的诈骗信息,该信息指向一个钓鱼网站,狡猾的嫌疑人租用了境外的一台服务器,因为每次发送的诈骗信息不尽相同,而且嫌疑人提供的银行账号也不相同,警方怀疑,租用服务器、制作诈骗软件的嫌疑人也只是这个电信诈骗网络的中间环节。
根据已经掌握的线索,警方获取了重庆制作诈骗信息软件、网站域名的主要犯罪嫌疑人吴某的银行账号,与该账号有资金往来的银行、支付宝账号有三十多个,涉及八个省市的多家银行及网络支付平台。警方经过分析,认为基本脉络已经清楚,决定收网。
2015年9月22日,田某、董某、侯某、张某四人落网,技术部门对查获的伪基站设备进行了数据恢复,四台伪基站设备,每天发送诈骗信息达30余万条,获利几十万元。
赶赴中缅边境抓获一名“中间人”
通过侦查,警方确定了田某的多名上线在云南,他们雇佣田某发送诈骗信息,并向田某提供每天发送诈骗信息的内容,按工作着的伪基站数向田某支付酬劳。
为将这个团伙一网打尽,专案组民警兵分四路,其中一组赴四川抓捕吴某,另一组奔赴云南,与当地警方合作,抓捕最终端的诈骗实施者。2015年9月25日,在重庆警方的协助下,赴重庆的专案组民警在重庆市沙坪坝区,成功将犯罪嫌疑人吴某抓获,并当场查获吴某作案用的手机八部、组装电脑主机两台、银行卡四张、U盘两个。
经审讯,吴某供述其在网络上搜索出租服务器和域名的服务商,以每天200元的价格在网上租下服务器、买好域名,然后把找他做网站的人提供的诈骗网站代码包和域名保存进服务器,在服务器中将域名和诈骗网站绑定在一起,然后通过QQ将域名以200至500元不等的价格卖给做诈骗网站的人,从中牟利数十万元。
远赴云南的专案组民警在当地警方的支持下,确定了嫌疑人经常在缅甸境内活动,并基本掌握了部分犯罪嫌疑人信息,为寻找有利时机在境内抓捕嫌疑人,专案组民警先后四次辗转西双版纳、临沧等地摸排走访,开展工作。
为顺利抓获犯罪嫌疑人,专案组民警潜伏在距中缅边境线不足一公里的地方,对面缅甸境内不时响起枪炮声,同时民警们身上都被毒蚊子咬的到处是肿块。经过不懈努力,终于将一名充当“中间人”的重要犯罪嫌疑人抓获。
目前,该案件正在进一步侦查中。
收藏
