吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13351|回复: 50
收起左侧

[转载] 反诈骗之旅(二)诈骗软件又现新变种

  [复制链接]
Andy0214 发表于 2020-4-26 09:08
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Andy0214 于 2020-4-26 09:13 编辑

概述:近期暗影实验室在日常监测中,发现一批针对中国、越南、马来西亚、美国等国用户的钓鱼软件。该类软件并不是第一次出现,如今出现了新变种。暗影安全实验室在去年10月份发表过一篇报告反诈骗之旅-仿冒公安政务中对该诈骗类软件进行了披露。该恶意软件冒充越南公安、马来西亚银行、美国信用卡、安全防护等相关应用程序名称诱骗用户安装使用。通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行卡、信用卡账户密码等信息以转走用户银行卡资金。除此之外,该类恶意程序还会窃取用户通讯录、通话记录、短信等个人隐私信息,并具有监听用户电话状态、监听用户短信、拨打电话、删除发送短信等功能。

图1-1恶意样本图标
1.钓鱼攻击
1.1针对国内钓鱼攻击
该类APP在国内主要通过冒充“Visa”与“安全防护”应用程序名进行传VISA又译为维萨,是美国一个信用卡品牌。Visa作为一个全球性的支付平台,覆盖全世界200多个国家和地区。同样在中国Visa也具有大量用户群体。
图2-1 Visa中国官网
该恶意程序主要通过仿冒抽奖、中奖等钓鱼页面,诱骗用户填写姓名、卡号、电话号码等敏感信息。

图2-2“Visa”钓鱼页面
冒充“安全防护”应用程序名称。该恶意程序提供网上银行卡安全认证功能以及文号查询功能,通过网上银行卡安全认证钓鱼页面窃取用户银行卡号、手机号、交易密码等信息。

图2-3“安全防护”钓鱼页面
1.2针对马来西亚钓鱼攻击
冒充马来西亚国家银行应用程序进行钓鱼攻击。马来西亚国家银行是由马来西亚政府设立及拥有,其主要目的不在营利,而是管制与监督全国的银行与金融活动。

图2-4马来西亚国家银行官网
通过钓鱼攻击页面诱导用户填写账户信息。

图2-5钓鱼页面
1.3针对越南钓鱼攻击
冒充越南公安部应用程序进行钓鱼攻击。

图2-6 越南公安部官网
通过钓鱼页面诱导用户填写账户信息。

图2-7 钓鱼页面
2.样本分析
我们监测到的这批恶意程序文件结构及代码基本相同。但每个恶意程序具有不同的服务器地址。

图3-1代码结构
程序启动会加载钓鱼页面并启动恶意服务。

图3-2加载钓鱼页面
2.1窃取隐私数据
应用加载完仿冒页面后便开始收集并上传用户隐私数据。
(1)收集并上传用户收件箱短信信息,包括发送失败和已发送的短信息。

图3-3收集短信收件箱信息

图3-4上传获取的用户短信信息
(2)收集上传用户通话记录信息,并标记通话记录状态。

图3-5收集通话记录信息

图3-6上传的用户通讯录信息
(3)收集并上传用户联系人信息。

图3-7收集用户联系人信息

图3-8上传用户联系人信息
与服务器交互上传获取的用户信息。

图3-9与服务器交互
2.1远程控制
程序的远控部分是通过消息机制实现的。从服务器获取指令并解析,然后通过Message.setData()传递从指令中解析出的数据、设置Message.what来指定消息类型。
服务器地址:http://213.***.36.42:4201/app/input.php。

图3-10解析指令并使用消息机制执行

图3-11服务器下发指令远控指令:

应用将自身注册为默认短信程序,监听用户接收的短信息。这样能即时获取到用户短信验证码信息。短信验证码作为第二验证因素被广泛用于身份验证中。

图3-12监听用户短信
删除指定短信。应用场景为诈骗犯在转走用户银行卡资金后为了避免用户发现从而删除短信提示信息。

图3-13删除指定短信
3.扩展分析
通过关联分析在恒安嘉新App全景平台态势平台上,我们发现多款该恶意程序应用。这批恶意程序代码结构、包名、签名都相同。说明这批恶意程序出自同一制作者。猜测这可能是某诈骗集团实施诈骗的工具。
图4-1其它样本信息部分样本信息:

4.总结
这批恶意程序在去年10月份的时候就已经出现,经过更新迭代重新被投入网络中进行使用。由于这批恶意程序具有相似的文件结构与代码且签名信息相同由同一组织打包而成,所以我们猜测这批恶意程序可能是某黑客组织实施跨国诈骗的工具。用户应提高自身防诈骗意识,多补充网络安全知识。不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。


原文地址:https://www.anquanke.com/post/id/203658

免费评分

参与人数 11吾爱币 +5 热心值 +10 收起 理由
jaffa + 1 谢谢@Thanks!
植元枫 + 1 我很赞同!
fei8255 + 1 + 1 谢谢@Thanks!
机智的我 + 1 + 1 谢谢@Thanks!
暗夜杀神 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
生有涯知无涯 + 1 我很赞同!
亚梦QaQ + 1 谢谢@Thanks!
dreamlivemeng + 1 + 1 用心讨论,共获提升!
HG/飞飞 + 1 热心回复!
teven + 1 谢谢@Thanks!
nut1999 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Andy0214 发表于 2020-4-26 21:50
莉莉玛丽 发表于 2020-4-26 15:56
美国有很多虚拟信用卡(可以购买使用的),一般购买者会登录网址查验余额,但是有很多钓鱼网站,新手不清楚 ...

不错,可以多科普点
莉莉玛丽 发表于 2020-4-26 15:56
美国有很多虚拟信用卡(可以购买使用的),一般购买者会登录网址查验余额,但是有很多钓鱼网站,新手不清楚的话很容易中招。
tielei 发表于 2020-4-26 09:23
Wmbzyutian 发表于 2020-4-26 09:39
感谢楼主分享
ggogg928 发表于 2020-4-26 09:46
小电影钓鱼的APP更多
xiaoyaochaoran 发表于 2020-4-26 09:53
谢谢分享,也请大家不要乱安装不明软件
wulihui_9 发表于 2020-4-26 10:01
不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。
adsl133 发表于 2020-4-26 10:08
这个必须顶。增强防范意识。
狗熊仔 发表于 2020-4-26 10:14
涨知识了,谢谢楼主
就随便起个名8 发表于 2020-4-26 10:22
还好我没有万事达
kabengqi 发表于 2020-4-26 10:33
幸好我穷
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表