反诈骗之旅：仿冒公安政务

Andy0214 发表于 2020-4-18 10:35

本帖最后由 Andy0214 于 2020-4-18 10:39 编辑

导读暗影移动安全实验室在日常监测中，发现了一批冒充“公安部”、“网上安全认证”、“公安局智能警务系统”等应用程序名称的诈骗类APP，研究人员分析发现，这批诈骗APP的目的是窃取用户个人信息（身份证末尾4位、认证卡号、安全码、卡背后3位、交易密码、手机号码、通讯录、短信等），然后上传至VPS服务器，涉及类型多达33种，VPS服务器主要分布在英国、加拿大、新加坡、荷兰，该类恶意程序危害极高，影响极其恶劣。
https://image.3001.net/images/20191024/1571913082_5db17d7a47c8e.png!small
图 1 诈骗APP运行界面诈骗团伙：你是XX吗？我是公安局的王警官，我们最近在调查一起跨国洗钱案件，发现你的账户疑似涉入其中受害者：你们是不是搞错了…诈骗团伙：不会有错的，你已经上通缉令了，你可以下载“公安局智能警务系统”查看,稍后通过短信发送与你受害者：多谢警官，我一定好好配合诈骗团伙：你现在“公安局智能警务系统”填写你的银行账户信息，需要对你的账户做冻结处理受害者：好的，马上马上几天过去了，王警官的电话再也没有响起过，小林也不断的收到银行的通知短信“您账户8888于10月23日12:00交易***200000.00”
基本信息样本MD5：2AEB5A0CFFCEDFE1395774C6DA65C225安装名称：安全防护样本包名：www.online157.com运行原理
程序启动后主要是引导用户输入查询文号，或者诱骗用户网银加密，实则是引导用户输入***相关信息（***号、***密码、预留手机号等），并且在用户未授权情况下获取用户手机联系人通讯录、通话记录、短信息以及必要的固件信息等，并将以上信息全部上传到指定服务器，该过程包含了用户直接输入的大量敏感信息以及私自窃取的用户信息，黑客可以通过以上信息登录用户网银并且盗刷或者转走用户的账户余额。
https://image.3001.net/images/20191024/1571913104_5db17d90d2d23.png!small
图2 运行流程图
代码分析
（1）获取用户通讯录、短信、通话记录直接上传程序启动后判断是真机则直接获取用户固件信息、通讯录、通话记录、短信息并上传到指定服务器。
https://image.3001.net/images/20191024/1571913137_5db17db1ed75b.png!small
图3 启动后上传通话记录、通讯录、短信息获取用户通话记录：
https://image.3001.net/images/20191024/1571913171_5db17dd34ae9c.png!small
https://image.3001.net/images/20191024/1571913173_5db17dd5b7058.png!small
图4 获取通话记录
https://image.3001.net/images/20191024/1571913200_5db17df0ee0da.png!small
图5 上传通话记录数据包获取用户通讯录联系人：
https://image.3001.net/images/20191024/1571913235_5db17e13115a6.png!small
https://image.3001.net/images/20191024/1571913239_5db17e17dd8f6.png!small
图6 获取通讯录联系人
https://image.3001.net/images/20191024/1571913286_5db17e46be31c.png!small
图7 上传通讯录联系人数据包获取用户短信：
https://image.3001.net/images/20191024/1571913306_5db17e5a9479d.png!small
图8 获取用户短信
https://image.3001.net/images/20191024/1571913323_5db17e6b227b9.png!small
图9 上传用户短信数据包获取用户信息的服务器地址：获取联系人：http://136.**.**.157/msky/v1.0/contact/获取通话记录：http://136.**.**.157/msky/v1.0/callrecord/获取短信：http://136.**.**.157/msky/v1.0/sms/https://image.3001.net/images/20191024/1571913566_5db17f5e64dd5.png!small
图10 窃取信息服务器地址
（2）诱导用户输入文号查询、***号、手机号、密码等信息
https://image.3001.net/images/20191024/1571913587_5db17f73e8232.png!small
图11 诱导用户输入信息诱骗用户输入的***信息：
https://image.3001.net/images/20191024/1571913614_5db17f8e183dc.png!small
图12 诱骗用户输入的敏感信息***可选其他信息：
https://image.3001.net/images/20191024/1571913641_5db17fa936019.png!small
图13 ***其他信息用户输入的文号签证：
https://image.3001.net/images/20191024/1571913662_5db17fbe2db85.png!small
图14 文号信息输入上传文号信息数据包
https://image.3001.net/images/20191024/1571913697_5db17fe1976a5.png!small
图15 上传文号信息数据包
（3）拦截并上传用户短信：
https://image.3001.net/images/20191024/1571913720_5db17ff801534.png!small
图16 拦截并上传用户短信
同源分析
表1 同源样本信息
序号MD5安装名包名
            1                         0E7F4C3E4F1D3F82F24005E504A6909A                         BỘ CÔNG AN                         www.com.rel113
            2                         938A283270AC170D0B69CAFF2EC73DB6                         BỘ CÔNG AN                         www.tabcol166.com
            3                         06FC6117E91A8EBB1967E9E315F5A575                         安全防护                         www.com.cctv50
            4                         0DBA70992406A3B866FA7866D010936B                         安全防护                         zxc.xyz.abc.msky
            5                         0007**F6161AE024CCEAD94C07DF7ADB                         公安防护                         sdr.edc.abc.msky
            6                         1F519EE45BFC0273DA27D77**255869A                         公安防护                         www.com.answer114
表2 服务器地址信息
服务器地址归属地反查
            144.**.**.38                         加拿大                         1*.ip-54-39-23.net
            45.**.**.226                         英国                         5*.deployments.pbxact.com
            149.**.**.161                         新加坡                         c*.mp3terbaru.site
            23.**.**.103                         荷兰                         d*.aircooll.co
防范及处置建议（1）用户下载APP应前往官网或正规应用商店，尤其是个税、银行、理财等涉及大量个人隐私信息或个人财产的APP，官网下载要重点关注搜索页面相关官网认证标识，在应用商店下载还须仔细查看应用公示的开发者信息。此外，APP软件版本信息也尽量在多个下载渠道进行反复比对，多方面结合来认证识别，避免下载到仿冒APP。（2）安装APP过程中，用户须仔细阅读应用申请的权限，如果发现存在与功能完全无关的权限，一定要谨慎安装。例如，游戏APP需要获取用户通话记录信息、短信记录信息，手电筒等工具类应用须获取联系人信息、位置信息等，都属于过度权限申请问题，如不是必须安装的APP，建议不要尝试安装，以防遭遇仿冒APP。另外，如果还是安装了这类APP，也可以到手机设置中的应用管理中将对应应用的敏感权限关闭，对于强制要求打开与功能无关的敏感权限的APP，建议用户果断卸载。（3）使用APP过程中，对于个人隐私或金融账号的填写一定要慎重，能够填写模糊信息就不要填写精确信息，对于选填项目不要填写，防范个人隐私的泄露及财产损失，若确实遭遇仿冒APP并在使用过程遭遇经济损失或严重隐私泄露问题，应及时报警，避免损失扩大。（4）关注”暗影实验室”公众号，获取最新移动安全动态。（5）当发现感染手机病毒软件之后，可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报，使病毒软件能够第一时间被查杀和拦截。原文地址：https://www.freebuf.com/articles/terminal/217910.html

lw199708 发表于 2020-4-18 14:13

you74222 发表于 2020-4-18 13:14
只要你有口气，骗子都能想出办法来骗你。

只要我够穷骗子就拿我没任何办法，两手机一个专门下软件当游戏机有电话卡没联系人微信买的没邦银行卡，另外一个就日常打电话发短信支付宝微信支付用没有其他软件。

互联网事 发表于 2020-4-18 10:40

感谢发布揭露！！！{:1_893:}

chensweet 发表于 2020-4-18 10:55

感谢楼主分享

小飞虫 发表于 2020-4-18 10:58

感谢揭露

qqweite 发表于 2020-4-18 11:18

这APP页面做的好假

Andy0214 发表于 2020-4-18 11:21

qqweite 发表于 2020-4-18 11:18
这APP页面做的好假

还行吧，现在有升级版的，直接就是官方界面，还没发布出来

todfch 发表于 2020-4-18 12:08

感谢搬运，学习了

处女-大龙猫 发表于 2020-4-18 12:16

先回复再看帖子. 养成良好习惯
他这个是强制直接获取收集权限嘛?读取通讯录等重要信息?

you74222 发表于 2020-4-18 13:14

只要你有口气，骗子都能想出办法来骗你。

sxyzs 发表于 2020-4-18 13:29

感谢发布

页: [1] 2 3

吾爱破解 - 52pojie.cn's Archiver

反诈骗之旅：仿冒公安政务