本文原標題《Trick蠕蟲病毒來襲！幕后主使竟是一名高中生“黑客”！》,作者：安天AVL&小米安全中心，轉(zhuǎn)載自安天AVL移動安全團隊公眾號，雷鋒網(wǎng)已獲授權(quán)轉(zhuǎn)載。

近期，安天AVL移動安全團隊和小米MIUI安全中心發(fā)現(xiàn)一款攜帶勒索功能的攔截馬Trick，經(jīng)過樣本溯源發(fā)現(xiàn)，該病毒竟出自國內(nèi)一名高中生之手。該病毒偽裝成中國移動，以免費獲取話費的短信誘惑用戶下載安裝。

該病毒運行后會執(zhí)行以下惡意行為：

• 竊取用戶短信并上傳到指定郵箱；

• 根據(jù)短信指令鎖定手機進行勒索；

• 根據(jù)遠程短信指令遍歷聯(lián)系人，并向所有聯(lián)系人群發(fā)附帶惡意下載鏈接的釣魚短信進行惡意傳播；

• 一旦發(fā)現(xiàn)用戶執(zhí)行卸載此惡意軟件的操作，該病毒會直接鎖定用戶手機，并對用戶進行勒索。

病毒運行流程圖如下：

病毒行為詳細分析

1.竊取用戶短信信息

Trick病毒程序運行后，首先獲取用戶手機中的所有短信，以郵件正文的形式上傳至指定郵箱，同時還會將短信內(nèi)容寫入txt文件中，通過郵箱上傳，郵件標題為“短信”。

通過對Trick病毒樣本的溯源，我們發(fā)現(xiàn)了該惡意開發(fā)者的郵箱信息，在郵箱中發(fā)現(xiàn)大量感染用戶的隱私信息，其中以各類短信驗證碼最為常見。

雖然該病毒樣本本身并沒有竊取用戶賬戶信息的功能，但是考慮到目前大量的隱私信息被泄露，惡意開發(fā)者極有可能通過其他渠道獲取到感染手機QQ、微信、銀行卡賬戶等信息，后續(xù)通過短信攔截馬執(zhí)行解綁、改密、轉(zhuǎn)賬等操作。

• 更換微信綁定關(guān)系：

• 更換平安普惠設(shè)備驗證碼：

• 更換QQ號綁定手機：

• 銀行轉(zhuǎn)賬驗證碼：

• 訂購騰訊業(yè)務：

• 微信支付驗證碼：

• 更改銀行預留電話驗證碼，開通手機銀行：

• SP訂閱：

2.激活設(shè)備管理器

運行后，Trick病毒會誘導用戶激活設(shè)備管理器，若用戶成功激活設(shè)備管理器，則會提示用戶重啟軟件：

3.隱藏圖標

激活設(shè)備管理器后，Trick病毒會彈出虛假對話框，提示虛假信息“程序異常已自動卸載”，并隱藏啟動圖標。

4.接收短信指令進行遠控行為

Trick病毒隱藏圖標后繼續(xù)在后臺運行監(jiān)聽系統(tǒng)接收短信的廣播。接收到主控手機187********發(fā)來的短信，解析此短信內(nèi)容發(fā)現(xiàn)它會執(zhí)行以下操作：

指令1：鎖機

鎖機指令即是對用戶手機進行鎖定，全屏置頂一個勒索的界面，要求用戶聯(lián)系QQ2038******有償解鎖。

指令2：短信

短信指令即通過解析主控手機發(fā)送的短信，獲取要發(fā)送的內(nèi)容和號碼，并控制用戶手機在后臺發(fā)送。

指令3：群發(fā)

群發(fā)指令即遍歷用戶手機中所有聯(lián)系人進行短信群發(fā)，短信內(nèi)容為“http://pre.im/ZxI2下載登錄進去填我邀請碼156941 可以領(lǐng)話費我已經(jīng)領(lǐng)了30”。該網(wǎng)址下載的就是其自身應用，當前該鏈接已失效。

該應用的圖標為中國移動，配合釣魚短信內(nèi)容，惡意誘導性極強。

5.實時上傳短信

Trick病毒通過監(jiān)聽系統(tǒng)接收短信的廣告，將非主控手機發(fā)送的短信通過郵件實時上傳，郵件標題為“小偉攔截馬”。

6.卸載程序鎖機

Trick病毒運行后會啟動設(shè)備管理器，用戶卸載應用之前必須先取消激活設(shè)備管理器。一旦監(jiān)測到用戶執(zhí)行取消激活設(shè)備管理器的操作時，該病毒會直接將用戶手機鎖屏并勒索，勒索界面與以上鎖機界面相同：

7.第三方推送服務

Trick病毒還實現(xiàn)了Bmob的第三方推送服務功能，在當前的程序中并沒有對推送消息進行處理，可以推測在后續(xù)的版本中可能會實現(xiàn)執(zhí)行更多的指令控制或其他功能。

惡意開發(fā)者追溯

1.追溯惡意開發(fā)者主控手機號碼以及地域信息

我們從代碼靜態(tài)分析中得到惡意開發(fā)者發(fā)送指令的主控手機,通過對主控手機歸屬地的查詢，可以看到該號碼號碼歸屬地為四川德陽市：

2.追溯惡意開發(fā)者SNS賬號信息及姓名

我們從代碼靜態(tài)分析中得到惡意開發(fā)者郵箱信息,在郵箱中有蒲公英應用分發(fā)平臺上的賬號，從中可以得知作者的名字和QQ：

通過分析我們還發(fā)現(xiàn)該惡意作者存在對外兜售攔截馬的行為：

3.進一步判斷惡意開發(fā)者身份

a)通過上一追溯環(huán)節(jié)的結(jié)論，我們得到了惡意開發(fā)者的qq賬號，以下是其qq賬號個人資料信息。從下圖可以看到，該開發(fā)者的年齡為18歲（但該信息不一定可靠），初步推斷其為高中生的可能性。

b)通過訪問該qq對應的qq空間，我們看到其空間中展示了某渠道攔截到的受害者短信信息，為該qq與實際攻擊者進行了一次強關(guān)聯(lián)，也進一步保證了我們通過該qq收集的攻擊者信息的可靠性。

c)該空間中上傳了一些學校運動會的照片，可以推斷出該攻擊者為一名學生。

d)我們在其空間中看到了攻擊者發(fā)布的學校位置的衛(wèi)星圖以及對應的衛(wèi)星拍攝視頻地址。通過查看該衛(wèi)星拍攝視頻，視頻結(jié)尾呈現(xiàn)了視頻制作者姓名，而該姓名與前面追溯環(huán)節(jié)所得到的攻擊者姓名信息完全一致。

e)更為關(guān)鍵的是，該衛(wèi)星拍攝地圖以及空間中的說說信息中，披露了一所高中的校名以及地理位置。其指向的是四川省德陽市下某縣的某所高中，進一步印證了攻擊者為高中生的推測。

綜上，我們可以推斷出該惡意開發(fā)者極有可能是來自四川省德陽市下某高中的一名高中生。

總結(jié)

Trick病毒偽裝成中國移動，以免費獲取話費的釣魚短信誘導用戶下載并安裝病毒。該病毒運行后竊取用戶的短信內(nèi)容并上傳至指定郵箱，同時向聯(lián)系人群發(fā)釣魚短信進行惡意傳播。此外，該病毒通過短信指令遠控執(zhí)行惡意行為，后續(xù)可能進一步形成僵尸網(wǎng)絡(luò)。

Trick病毒雖然沒有竊取用戶賬戶密碼的惡意功能，但從惡意開發(fā)者郵箱內(nèi)的短信內(nèi)容可以合理推斷出該惡意開發(fā)者極有可能通過其他渠道獲取用戶的QQ、微信、甚至銀行賬戶等隱私信息，后續(xù)通過解綁、改密的方式登錄用戶賬戶，對用戶財產(chǎn)造成極大的安全風險。

一個出自高中生之手的病毒技術(shù)如此高明，讓我們深感如今高中生信息技術(shù)水平之高的同時，也警醒我們應該加強對網(wǎng)絡(luò)安全感興趣的年輕人的正向引導，將他們的技術(shù)天賦應用在對抗網(wǎng)絡(luò)攻擊上，而不是開發(fā)病毒竊取別人的隱私、財產(chǎn)，否則黑客最終將會受到法律制裁。

安全建議

針對Trick攔截馬病毒，集成AVL反病毒引擎的MIUI安全中心已經(jīng)實現(xiàn)全面查殺。安天AVL移動安全團隊和MIUI安全中心提醒您：

• 請從正規(guī)的應用市場下載應用，不要在不知名網(wǎng)站、論壇、應用市場下載應用

• 謹慎點擊短信中附帶的鏈接

• 不要在任何場合隨意泄露自身隱私信息，注重自身隱私保護

• 建議在手機中至少安裝一款殺毒軟件，同時保持定期掃描的習慣

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。