110'u tuşlayın, ama yalancı cevap verdi mi? Antiy Mobile virüsün "hırsızlık alarmı" ilkesini ortaya koyuyor |
Bugünün otaku "siyah merceği", bir aldatmaca senaryosuna bir göz atalım:
1. İçeriği olan bir metin mesajı alırsınız: elektronik kupon veya bağlantı ekli birim kodu. Bu kısa mesajın işiniz ve yaşamınızla ilgili olabileceğini düşünüyor musunuz, bu yüzden bağlantıya tıklayın, "Supreme People's Procuratorate" adlı bir uygulama Telefona kurulur.
2. Birkaç gün sonra, Aniden "polisten" bir telefon aldınız , Diğer taraf sizi ciddi şekilde uyarıyor: Bir suç işlediğinizden şüpheleniliyorsunuz ve soruşturmada işbirliği yapmanız ve parayı polisin "güvenli hesabına" aktarmanız gerekiyor.
3. Böyle bir aldatmaca duyduğunuz için hehe dediniz. Karşı taraf bana inanmazsan ben Sizi "Savcılığa" sevk edebilir , Kendiniz doğrulayabilirsiniz.
4. Hehe dediniz: "Aktardığınız aramanın savcılığa olup olmadığını nereden bilebilirim?" Diğer taraf sakin bir şekilde "Sorun değil. Kapatıp kontrol etmek için 110'u tuşlayabilirsiniz. "
5. Şüphelenecek, telefonu kapatacak ve arama bağlandıktan sonra 110'u arayacaksınız, Soruşturmadan sonra "polis" size söyleyecektir! gerçek! Suç şüphesi , Partiye başlıyorsun.
Yukarıdaki "dram" da, telefonun diğer ucundaki kişi gerçekten bir yalancı. Ancak kafanızı karıştırabilecek bir şey var:
Polis için 110'u ararsan yalancıya bağlanacaksın?
Bu sırrı cevaplamak için Antiy AVL mobil güvenlik ekibi iki yıl boyunca gizli bir soruşturma yürüttü. "Supreme People's Procuratorate" uygulaması olarak gizlenen bu tür Android Truva atı virüsü ortaya çıkarıldı ve ayrıntılı bir rapor yayınlandı: "Dördüncü Virüs Yükseltmesi: Antiy AVL Ekibi, Telekom Dolandırıcılığının Evrimsel Geçmişi Vakasını Açığa Çıkarıyor"
Leifeng Net Home Guest Channel, Antiy AVL mobil güvenlik ekibi tarafından yetkilendirilmiştir ve yönlendirme raporunun tam metni aşağıdaki gibidir:
Eylül 2014'ten bu yana, Antiy AVL mobil güvenlik ekibi, Android mobil platformuna dayalı olarak sürekli olarak bir tür casus yazılım virüsü tespit etti. Virüs örneklerinin çoğu, "Yüce Halk Savcılığı" adı verilen uygulamalar olarak gizleniyor. Ters derleme analizinden ve uzun vadeli takip incelemesinden sonra, bunun telekom dolandırıcılığının organize bir suç faaliyeti olabileceğine karar veriyoruz.
Eylül 2014'ten bu yana, bir dolandırıcılık örgütü, şüpheli suçlar nedeniyle mağdurları sindirmeye ve telekom dolandırıcılık faaliyetleri yürütmeye devam ediyor. Dolandırıcılık sürecinin tamamı kabaca aşağıdaki gibidir:
Saldırgan ilk olarak kurbanın cep telefonuna kötü amaçlı uygulama indirme bağlantısını içeren bir kısa mesaj gönderir. Bu adım Sahte baz istasyonu aracılığıyla SMS gönderen grup olabilir Başarıldı
Saldırganlar genellikle kurbanları kandırarak bağlantıya tıklamaları için "vaka numarası", "birim kodu" ve "elektronik sertifika" almak için kısa mesajlar kullanırlar. Kötü amaçlı programı indirip yükleyin ve sonunda kurbanın telefonunun kök iznini alın
Kötü amaçlı program kurbanın cep telefonuna başarıyla yüklendikten sonra dolandırıcı, kurbanı aktif olarak arayacak ve Onay için çağrıyı savcılığa aktarma talebinde bulunma , Ama şimdi çoğu insan bu tür telekomünikasyon dolandırıcılığının daha fazla farkındadır ve diğer tarafın çağrı aktarımını reddedecektir;
şu anda, Dolandırıcılar, kurbandan olayın gerçekliğini doğrulamak için kapatmasını ve 110'u aramasını aktif olarak isteyecektir. Kurban telefonu çevirdiğinde, kurbanın telefonuna yüklenen kötü amaçlı program, başlangıçta 110 olarak adlandırılan telefon numarasını arayacaktır. Saldırıdan sonra, telefon dolandırıcının numarasına dönüştürülecek, böylece kurban doğru olduğuna inanacak ve tuzağa düşecektir.
AVL mobil İnternet kötü amaçlı program tespit platformu tarafından toplanan veriler sayesinde, bu tür virüs örneğinin ilk olarak Eylül 2014'te ortaya çıktığı görülebiliyor. Sonraki iki yıl içinde, farklı paket yapılarına sahip 180'den fazla yeni virüs varyantı örneği art arda ele geçirildi. Bu tür virüsle enfekte olan kişiler çoğunlukla Çin'in Zhejiang Eyaleti ve Guangdong Eyaletinde dağıtılırken Fujian, Hubei, Jiangxi ve diğer yerlerde de enfeksiyon vakaları vardır.
Virüsün sürekli gelişimi sürecinde, saldırgan 16 ilgili IP adresine sahip birden çok CC sunucusunu art arda kaydetmiştir.Sunucular, Hong Kong, Singapur ve Japonya dahil olmak üzere 5'ten fazla ülke ve bölgede dağıtılmıştır. Buradan, saldırganların sürekli olarak konum değiştirerek ve diğer yollarla tespit edilmekten kaçtıklarını görebiliriz.
Kötü niyetli davranışın ayrıntılı analizi
Kötü niyetli davranışın uygulama sürecinin şematik diyagramı
Sahte elektronik kimlik bilgileri
Kötü amaçlı uygulama başarıyla kurulup çalıştırıldığında, kurbanın cep telefonu, Yüksek Halk Savcılığı tarafından verilen sahte bir elektronik sertifika gösterecek ve kurbanı şüpheli suç nedeniyle soruşturulmakla tehdit edecek. Şu anda, zayıf bir koruma duygusuna sahip mağdurlar, diğer tarafa doğrudan güvenebilirler. Diğer mağdurlar önleme konusunda yeterli farkındalığa sahip olsalar bile, dolandırıcıların onları boyun eğmeye zorlama yolları vardır. Bu, polisi aramak için kurbanın cep telefonunu çalmak ve ardından kurbana doğrulamak için 110'u tuşlamasını açıkça söylemek.
Aşağıdaki, Yüce Halk Savcılığı tarafından verilen sahte bir elektronik sertifika örneğidir. Aşağıdaki üç elektronik kupon örneğinden, başsavcının imzalarının mevcut duruma göre sürekli güncellendiğini görebiliyoruz, bu da saldırganın mağdurun elektronik kupon şüphesini büyük ölçüde ortadan kaldırdığını ve telekomünikasyon dolandırıcılığının başarı oranını artırdığını göstermektedir.
Polis çağrısını kaçırmak
Yukarıdaki kodun ekran görüntüsünden, kurban polisi aramış olsa bile dolandırıcı hala telefonun diğer ucundaydı, bu da kurbanın doğru olduğuna inandırdı ve sonunda saldırganın tuzağına düşerek feci sonuçlar doğurdu.
Yukarıdaki resimde dolandırıcılar tarafından ele geçirilen hedef sayılar aşağıdaki gibidir:
Bunlar arasında "021110", kaynak kodda gösterilen Hubei Eyaleti Kamu Güvenliği Bürosu değil, Şangay Kamu Güvenliği Bürosu'dur.
Kurbanın özel verilerini çalın
Telekom dolandırıcılık zincirinin tamamında önemli bir bağlantı olan virüs, aslında bir casus yazılımdır. İşlevi, mağdurun gözünü korkutmak ve aldatmak için yalnızca savcılığın elektronik kimliğini göstermek değil, aynı zamanda kullanıcının özel verilerini arka planda çalmak ve belirlenen kötü niyetli bir sunucuya yüklemek ve kurbanın kişisel çıkarlarına daha fazla zarar vermektir.
Virüs, önyüklemeden sonra otomatik olarak çalışacaktır.Çalıştıktan sonra, elektronik kimlik bilgilerini görüntülemek için otomatik olarak bir etkinlik bileşeni oluşturacak ve aynı zamanda arka planda kullanıcı gizlilik verilerini çalmak için bir hizmet bileşeni başlatacaktır.
Bu bileşenin hizmet bileşeni ilk olarak phoneConfig.db adında bir veritabanı dosyası oluşturur ve onu başlatır. Veritabanı esas olarak giden oturumun iki verisini ve geçerli konfigürasyon bilgisini kaydeder ve veritabanındaki indeksleri sırasıyla "telefon Çağrısı" ve "yapılandırma" dır. Veritabanı verilerinin güncellenmesi gerektiğinde, program eski tabloyu silecek ve veritabanını yeniden oluşturacak ve başlatacaktır. Veritabanı / data / data ilgili uygulama paketi dizininde bulunabilir. Spesifik veritabanı tablosu içeriği aşağıdaki şekilde gösterilmektedir.
Elbette bu, casus uygulamanın çalmak istediği tüm özel verilerden uzaktır. Daha sonra, kurbanın cihazındaki her türlü veriyi almak ve bunları depolamak için JSON'a yazmak için mümkün olan her şeyi yapacak.
Derlenmiş kodu analiz ederek, Tablo 1'de gösterildiği gibi virüsün çalmayı planladığı veri türlerini özetliyoruz.
Mağdurun gizlilik verilerini yükleyin
Saldırgan, kurbanın özel verilerini aldıktan sonra, bunları İnternet üzerinden sunucuya yükleyecektir. Bu bölüm esas olarak application / lib / armeabi dosya dizinindeki libjpomelo.so dinamik kitaplık dosyasında uygulanmaktadır.
Casus yazılım, uzak sunucuyla bir HTTP bağlantısı kurarak özel verileri karşıya yükleme işlemini tamamlar. Spesifik süreç aşağıdaki şekilde gösterilmektedir.
Bu noktada, gizlilik verilerinin yüklenmesi tamamlanır ve kurbanın cep telefonu gizlilik verileri tamamen saldırganın elindedir.
Virüs varyantlarının evrimsel geçmişi
1. Tomurcuklanma dönemi (2014.9 ~ 2014.11)
· Daha kesin olmayan saldırılar
· Bu aşamada iki tür birinci nesil virüs örneği vardır ve her ikisi de alarm çağrısını ele geçirmek için kötü niyetli davranışlara sahiptir.
· Bir casus yazılım olarak, çalınan birkaç veri türü, tek işlev vardır ve temelde çatışmaya neden olmayan
2. Kararlı dönem (2015,3 ~ 2015,8)
· Ana işlev hala alarm aramasını ele geçirmektir
· Birinci nesil virüslerden birine dayalı
· Çalınan veri türlerini artırın
3. Aktif dönem (2015.9 ~ 2016.2)
· Viral enfeksiyonlarda artış
Suçlular, yeni kaydedilen birden fazla denizaşırı sunucu alan adı
· Virüsün yeni varyantlarının direnci büyük ölçüde artırıldı
4. İkinci aktif dönem (2016.11'den itibaren)
· Virüs enfeksiyonlarının sayısı artıyor
· Birkaç nesil varyantın örnekleri bulundu ve durum daha karmaşık
· En yeni virüs çeşitleri bir kez daha dirençli
İlk aşama: tomurcuklanma dönemi (2014.9 ~ 2014.11)
Telekomünikasyon dolandırıcılığının filizlenme döneminde, her ikisi de telefon numaralarını ve kullanıcıların kişisel verilerini çalma davranışına sahip iki tür virüs varyantı aynı anda etkindir. Aradaki fark, kurbanın cihazına saldırdıktan sonra özel verileri elde etmenin farklı yollarında yatmaktadır.
İlk tür:Örnek olarak 7692A28896181845219DB5089CFBEC4D örneğini ele alalım.Bu varyant temelde kullanıcının SMS verilerini çalıyor. Alıcıyı yeni bir mesaj alma olayını izlemeye ayarlayacak, gelen bir mesaj olduğunda, hemen gönderenin telefon numarasını ve mesajın içeriğini alacak ve belirlenen numaraya iletecektir.
İkinci tür:Örnek olarak 4AD7843644D8731F51A8AC2F24A45CB4 örneğini alırsak, bu varyantın çalınan nesnesi artık SMS ile sınırlı değildir, ancak saldırıya uğrayan cihazın ürün yazılımı bilgisini, iletişim operatörü bilgilerini vb. Kapsar. Ek olarak, bu varyant ayrıca cihazın zil sesini kontrol edecek ve onu sessize alacaktır.
Mağdurun özel verilerini çalma araçları ve çalınan veri türleri açısından, ikinci tür varyant, sonraki aşamalarda diğer virüs varyantlarının atasıdır.
Virüs örneklerini bu aşamada sentezlerken, saldırıya uğrayan cihazdan bilgi almak için hangi yöntem kullanılırsa kullanılsın, direncinin nispeten zayıf olduğunu ve temelde açığa çıkarılması kolay bazı veriler için koruma bulunmadığını gördük. Örneğin, ortaya çıkardığımız bazı SMS yönlendirme adresleri ve uzak sunucu IP adresleri ve port numaralarının tümü programda düz metin olarak kodlanmıştır, bu kolayca derlenip tersine analiz edilebilir ve mobil güvenlik yazılımının kontrolünden kaçmak zordur. öldürmek.
İkinci aşama: istikrarlı dönem (2015.3 ~ 2015.8)Bu aşama sahtekarlığın platosudur veya aynı zamanda düşük gelgit dönemi olarak da adlandırılabilir. Bu aşamadaki saldırı çok aktif değil. Dolandırıcıların saldırı arzusunun azaldığı veya yeni bir saldırı turu başlatmaya hazır oldukları anlaşılabilir. Genel olarak, virüs miktarı önemli ölçüde azaldı.
Aşama örneklerindeki bazı yeni varyantlara gelince, bunların çoğu, tomurcuklanma döneminde ikinci tip virüs varyantlarına dayanan yapısal ve morfolojik değişikliklerdir.Aynı zamanda, bir ön önlem yapmak için kod gizleme teknolojisi benimsenmiştir. Ancak belirli işlevleri neredeyse hiç değişmedi.
Üçüncü aşama: aktif bir dönem (2015.9 ~ 2016.2)Bu aşama ile önceki aşama arasında net bir ayrım çizgisi var. 1 Eylül 2015'te, cep telefonu kartları için gerçek isim sistemine ilişkin düzenlemeler resmi olarak yürürlüğe girdi. Cep telefonu numarası kişisel kimlik kartına bağlıdır, bu da saldırganın kurbanın özel verilerini SMS iletme yoluyla elde etmesinin zor olduğu anlamına gelir, çünkü saldırganın cep telefonu numarasının açığa çıkması saldırganın takip edilme riskini büyük ölçüde artırır.
Bu nedenle, Ekim 2015'ten sonra yakalanan virüsün yeni varyantlarında, SMS iletimi için kullanılan cep telefonu numarası ve belirli bazı SMS içeriği artık doğrudan program kodunda görünmüyor, ancak İnternet üzerinden uzak sunucudan indirilip ayrıştırılıyor.
Virüs işlevi açısından bakıldığında, bu aşama önceki aşamadan çok fazla değişmedi ve hala esas olarak telefon numaralarının ele geçirilmesine ve kullanıcı gizlilik verilerinin çalınmasına dayanıyor.
Ancak saldırı menzili bu aşamada görülmemiş bir zirveye ulaştı. Bir yandan virüs bulaşma sayısı keskin bir şekilde arttı ve virüs örnekleri birbiri ardına ortaya çıktı, diğer yandan Hong Kong'da daha önce neredeyse tüm kötü niyetli sunucular kuruldu.Bu aşamada Güney Kore, Singapur, Japonya gibi yeni lokasyonlar ortaya çıktı. Bu saldırganın daha büyük ölçekli bir telekomünikasyon dolandırıcılığına hazırlanırken, aynı zamanda izlerini daha iyi gizleyip tespit edilmekten kaçındığını tahmin edebiliriz. Bu saldırının zirvesi, ertesi yılın Şubat ayına kadar kademeli olarak azalmadı.
Dördüncü aşama: ikinci aktif dönem (2016.11'den günümüze)İlk aktif dönemin ardından, dolandırıcılık ve suç faaliyetleri, yarım yıldan fazla sabit bir süre yaşadı. Bu süre zarfında, virüs örneklerinin sayısı önemli ölçüde azalmış olsa da, yine de yakalanabilir. Virüs örneklerinin işlevi önemli ölçüde değişmemiştir.
Bu yılın Kasım ayı başlarına kadar virüs saldırısı tekrar aktif bir döneme girdi. Yeni saldırı turunda yakalanan örneklere bakıldığında, virüsün bir kısmı önceki aşamadaki varyantları takip etti ve bazıları yeni karşı önlemler ekledi. Diğer kısım, Java katmanından sunucuya veri çalma ve yükleme işlevini SO dinamik bağlantı kitaplığına aktaran yeni bir varyant kullanır.Saldırı için gereken bilgiler daha çok uzak bir sunucudan indirilerek elde edilir. Saldırıların tehlikesi ve belirsizliği artırıldı ve ayrıca güvenlik tespiti ve tersine analizin zorluğunu daha da artırdı.
Bu aşamadaki saldırının ölçeğine bakıldığında, 8-13 Kasım tarihleri arasında bir haftadan kısa bir süre içinde 35 virüs örneği ele geçirdik.
13 Kasım itibarıyla, virüs örneğinin ortalama günlük yakalama hacmi yaklaşık altı idi ve dolandırıcılık faaliyetleri devam etti.
Uzak sunucu IP izlenebilirliği
Uzak sunucuların izlenebilirlik analizi sayesinde, sunucuların çoğunun Hong Kong'da bulunduğunu ve daha sonra Güney Kore, Japonya, Amerika Birleşik Devletleri ve diğer ülke ve bölgelere yayıldığını görebiliriz. WHOIS ve VT gibi üçüncü taraf veri kaynaklarında elde edilen IP adresini kontrol ederek, sonuçlar aşağıdaki tabloda gösterilmektedir. Özellikle, bu atıflar yalnızca dolandırıcılar tarafından kullanılan sunucuların konumlarıdır.
Not: Tablodaki veriler, whois.net ve virustotal.com'daki ilgili IP'nin sorgu sonuçlarından gelir.
sonuç olarak
Virüsün detaylı analizi sonucunda, virüsün şu ana kadar 6 farklı türde Truva atı kullandığını gördük. Başlangıçta test için kullanılabilecek olanlar dışında, diğerleri yapı ve işlev gibi göstergelere göre kabaca dört kuşakta toplanabilir. İlk Truva atları, temelde SMS yönlendirme adresinin telefon numarası ve özel verileri yüklemek için sunucu IP'si vb. Dahil olmak üzere, programda kodlanmış, analiz etmesi, izlemesi ve öldürmesi daha kolay olan çatışmacı davranışlara sahip değildi. 1 Eylül 2015'te, cep telefonu kartları için gerçek isim sistemi resmi olarak uygulamaya kondu, bu da saldırgan bilgilerinin daha kolay tespit edilebileceği anlamına geliyor.
Aynı yılın Ekim ayında, virüsün yeni varyantı, saldırganın bilgilerini gizlemek için gizleme gibi karşı önlemler almaya başladı.Kısa mesajın adresi ve içeriği gibi veriler de sunucudan indirildi. Kasım 2016'ya kadar virüs, veri çalma ve sunucuyu Java katmanından SO dinamik bağlantı kitaplığına yükleme işlevini aktaracak.Saldırı için gereken bilgiler uzak sunucudan daha fazla indiriliyor. Saldırı hem tehlikeli hem de belirsiz. İyileştirme, güvenlik izleme ve ters analizin zorluğunu bir dereceye kadar artırmıştır. Genel olarak, telekomünikasyon dolandırıcılığının daha uzun bir süresi (2 yıldan fazla) var ve saldırı yöntemleri sürekli değişiyor. Suçluların Hong Kong ve Tayvan'da hileli örgütler olabileceği sonucuna varabiliriz. Son derece örgütlüler ve dolandırıcı davranışları son derece kötü ve ciddiye alınmaları gerekiyor.
Buna ek olarak, şimdiye kadarki dolandırıcılık faaliyet döngüsüne bakıldığında, zirve genellikle her yılın sonunda (Eylül-Kasım) başlar ve bir sonraki yılın başında (Şubat civarında) sona erer, bu da yıl sonunun genellikle yüksek bir telekomünikasyon dolandırıcılığı vakası olduğunu gösterir. Yıl sonunda cep telefonu kullanıcılarının büyük bir kısmının aldatılmamaya dikkat etmesi gerekiyor.
Güvenlik tavsiyesi
Bu tür kötü amaçlı uygulamalar için, AVL mobil antivirüs motoru ortaklarının ürünleri kapsamlı bir tespit ve öldürme gerçekleştirmiştir. Antiy Mobile Security Ekibi size şunları hatırlatıyor:
Mesaja ekli bağlantıya dikkatlice tıklayın;
Aktif önleme bilincini güçlendirin ve telekom dolandırıcılığı hakkında bu tür bilgilere güvenmeyin. Doğrulamanız gerekirse, onaylamak için başka cep telefonlarını kullanmak gibi onaylamak için birden fazla kanal kullanmayı deneyin;
Kendi özel bilgilerinizi hiçbir durumda keyfi olarak ifşa etmeyin, kendi gizlilik korumanıza dikkat edin;
Düzenli tarama alışkanlığınızı korurken cep telefonunuza en az bir anti-virüs yazılımı yüklemeniz önerilir.
Not: Bu makalenin ilk resmi, telekom sahtekarlığı yaşamış Tang Wei'dir.
Antiy Mobil Güvenlik Şirketi:
Antiy Mobile Security 2010 yılında kurulmuştur. Antiy Labs bünyesinde mobil İnternet güvenliği teknolojisi ve güvenlik ürünü araştırma ve geliştirmeye odaklanan bir şirkettir. Antiy Mobile Security Company'nin temel ürün sistemi, AVL Inside mobil anti-virüs motoru ve AVL Insight mobil tehdit istihbarat platformudur.
AVL Inside, uluslararası yetkili değerlendirme ajansı AV-TEST tarafından verilen en yüksek yıllık ortalama tespit oranına sahip "En İyi Mobil Cihaz Koruması" ödülünü kazandı. Bu, bir Asyalı güvenlik üreticisinin bu ödülü ilk kez kazandığı oldu. AVL Insight, Çin'deki ilk mobil tehdit istihbarat büyük veri platformudur.Genellikle mobil tehditlere ilişkin yüksek değerli istihbarat bilgilerini sunmak için kullanılır.Mobil tehditlerin kapsamlı algılama ve hızlı analiz ve müdahale yetenekleri sayesinde, mobil tehditlere karşı erken uyarı ve tedavi stratejileri sağlar.
Şu anda Antiy Mobile Security, OPPO, VIVO, Xiaomi MIUI, Alibaba Cloud YunOS, Gionee, BBK, Nubia, LeEco, Cheetah, LBE Security Master, Android Cleanup Master, AMC gibi yurtiçi ve yurtdışında 50'den fazla tanınmış üretici ile işbirliği kurmuştur. , Dünya çapında 600 milyon son kullanıcıya eşlik ediyor.
