今天的宅客“黑鏡頭”，我們來看一個逆天的詐騙劇本：

1、你收到一條短信，內(nèi)容是：電子憑證或者單位代號，其中附加了一個鏈接。你覺得這條短信可能和自己的工作生活相關(guān)，于是點擊了鏈接，有一個名為“最高人民檢察院”的 App 被安裝到了手機上。

2、幾天后，你突然接到來自“警方”的電話，對方嚴厲地警告你：你涉嫌犯罪，需要配合調(diào)查，把資金轉(zhuǎn)移到警方的“安全賬戶”。

3、你表示呵呵，因為你曾經(jīng)聽說過這樣的騙局。對方說，你不信的話，我可以幫你轉(zhuǎn)接到“檢察院”，你自己來核實。

4、你表示呵呵：“你們轉(zhuǎn)接的電話，我怎么知道是不是打到檢察院呢？”對方淡定地說：“沒關(guān)系，你可以掛掉電話，撥打110查詢一下。”

5、你將信將疑，掛斷電話并且撥打110，電話接通后，“警方”經(jīng)過查詢，告訴你確！實！存在犯罪嫌疑，你開始方了。

在以上的“戲劇”中，電話那頭的人確實是騙子無疑。但是有一點你可能會百思不得姐，那就是：

為神馬撥打 110 報警電話，都會接通到騙子那里？

為了解答這個秘密，安天AVL移動安全團隊“臥底”調(diào)查長達兩年時間。揭開了這類偽裝成“最高人民檢察院”應(yīng)用的 Android 木馬病毒，并且發(fā)出了詳盡的報告：《病毒四度升級：安天AVL Team揭露一例跨期兩年的電信詐騙進化史》

雷鋒網(wǎng)宅客頻道獲得安天AVL移動安全團隊授權(quán)，轉(zhuǎn)發(fā)報告全文如下：

自2014年9月起，安天AVL移動安全團隊持續(xù)檢測到一類基于Android移動平臺的間諜類病毒，病毒樣本大多偽裝成名為“最高人民檢察院”的應(yīng)用。經(jīng)過反編譯逆向分析以及長期的跟蹤調(diào)查，我們判斷這可能是一起有組織的電信詐騙犯罪活動。

2014年9月至今，某詐騙組織持續(xù)以涉嫌犯罪為由恐嚇受害者，并進行電信詐騙活動。整個詐騙流程大致如下：

攻擊者首先向受害者的手機發(fā)送含惡意應(yīng)用下載鏈接的短信，這一步可能是借由偽基站群發(fā)短信實現(xiàn)的；

攻擊者通常以獲取“案件號”、“單位代號”、“電子憑證”的短信誘騙受害者點擊鏈接，下載安裝惡意程序，最終獲取受害者手機的root權(quán)限；

惡意程序被成功安裝到受害者手機后，詐騙者會主動打電話給受害者，并聲稱將電話轉(zhuǎn)接至檢察院確認，但現(xiàn)在大部分人都對這類電信詐騙的防范意識較高，會拒絕對方的電話轉(zhuǎn)接；

此時，詐騙分子會主動要求受害者掛斷電話，并親自撥打110確認事件的真?zhèn)巍?/strong>當受害者將電話撥出后，安裝在受害人手機中的惡意程序?qū)⒃緭艽蚪o110的電話，劫持之后轉(zhuǎn)為撥打詐騙者的號碼，從而讓受害者信以為真，完全落入圈套。

通過AVL移動互聯(lián)網(wǎng)惡意程序檢測平臺捕獲數(shù)據(jù)可以看到，該類型病毒樣本首次出現(xiàn)在2014年9月。在此后兩年時間里，又先后捕獲到4類包結(jié)構(gòu)各不相同的病毒新變種樣本180余個。這類病毒的感染者主要分布于我國浙江省和廣東省，福建、湖北、江西等地也有感染案例。

在該病毒不斷進化的進程中，攻擊者先后注冊了多個C&C服務(wù)器，相關(guān)IP地址16個，服務(wù)器分布在香港、新加坡、日本等5個以上的國家和地區(qū)。由此我們可以看到攻擊者通過不斷變換地點等手段來逃避偵查。

惡意行為詳情分析

惡意行為實現(xiàn)流程示意圖

偽造電子憑證

當惡意應(yīng)用被成功安裝并運行后，受害者手機會顯示一個偽造的最高人民檢察院發(fā)布的電子憑證，恐嚇受害者因涉嫌犯罪，而需要接受調(diào)查。此時，防范意識薄弱的受害者可能會直接相信對方。即便其他受害者具備足夠的防范意識，詐騙者依然有辦法逼其就范。那就是劫持受害者手機的報警電話，然后明確告訴受害者可以自行撥打110確認。

以下是偽造的最高人民檢察院發(fā)布的電子憑證樣例。從以下三張電子憑證樣例，我們可以看到檢察長的簽名都是根據(jù)現(xiàn)實情況不斷更新，說明攻擊者最大程度消除受害者對此電子憑證的懷疑，提高電信詐騙的成功率。

劫持報警電話

從以上代碼截圖可以看到，即使受害者是自行撥打的報警電話，電話那頭依然是詐騙者，從而使得受害者信以為真，最終落入攻擊者圈套，后果不堪設(shè)想。

上圖中詐騙分子劫持的目標號碼如下：

其中“021110”并非源碼中顯示的湖北省公安廳，而是上海市公安局。

竊取受害者隱私數(shù)據(jù)

作為整個電信詐騙鏈條上的重要一環(huán)，該病毒本質(zhì)是一款間諜件。其功能不僅是顯示檢察院電子憑證以恐嚇欺騙受害者，還在后臺竊取用戶隱私數(shù)據(jù)并上傳至指定惡意服務(wù)器，給受害者的個人利益帶來更大損害。

該病毒會開機自動運行，運行后自動生成用于顯示電子憑證的activity組件，同時在后臺啟動用于竊取用戶隱私數(shù)據(jù)的service組件。

該組件service組件首先創(chuàng)建一個名為phoneConfig.db的數(shù)據(jù)庫文件并將其初始化。該數(shù)據(jù)庫主要記錄呼出會話和當前配置信息兩項數(shù)據(jù)，其在庫中的索引分別為“phoneCall”和“config”。當數(shù)據(jù)庫數(shù)據(jù)需要更新時，程序會刪除舊表并重新創(chuàng)建和初始化數(shù)據(jù)庫。該數(shù)據(jù)庫可以在/data/data對應(yīng)應(yīng)用包目錄下找到。具體的數(shù)據(jù)庫表內(nèi)容如下圖所示。

當然，這遠不是該間諜應(yīng)用要盜取的全部隱私數(shù)據(jù)。接下來，它會使出渾身解數(shù)獲取受害者設(shè)備上的各類數(shù)據(jù)，并將它們寫入JSON保存起來。

通過分析反編譯代碼，我們總結(jié)該病毒意圖盜取的數(shù)據(jù)種類如表1所示。

上傳受害者隱私數(shù)據(jù)

獲取到受害者的隱私數(shù)據(jù)后，下一步攻擊者會通過聯(lián)網(wǎng)將其上傳至服務(wù)器。這一部分主要是在應(yīng)用/lib/armeabi文件目錄下的libjpomelo.so動態(tài)庫文件中實現(xiàn)的。

該間諜件通過與遠程服務(wù)器建立HTTP連接完成隱私數(shù)據(jù)上傳的行為。具體過程如下圖所示。

至此，隱私數(shù)據(jù)上傳完成，受害者手機隱私數(shù)據(jù)完全掌握在攻擊者手中。

病毒變種進化歷史

一、萌芽期（2014.9~2014.11）

· 更多的是一些嘗試性的攻擊

· 該階段存在兩類初代病毒樣本，均已具備劫持報警電話的惡意行為

· 作為間諜件竊取數(shù)據(jù)種類少，功能單一，基本不具備對抗性

二、平穩(wěn)期（2015.3~2015.8）

· 主要功能仍是劫持報警電話

· 在其中一類初代病毒的基礎(chǔ)上做了初步對抗

· 增加竊取數(shù)據(jù)的種類

三、一次活躍期（2015.9~2016.2）

· 病毒感染量激增

· 犯罪分子新注冊多個海外服務(wù)器域名

· 病毒新變種的對抗性大幅增強

四、二次活躍期（2016.11至今）

· 病毒感染量呈明顯上升趨勢

· 幾代變種的樣本均有發(fā)現(xiàn)，情況更為復雜

· 最新型的病毒變種對抗性再次增強

第一階段：萌芽期（2014.9~2014.11）

在電信詐騙的萌芽期同時活躍著兩種類型的病毒變種，它們都具有劫持電話號碼以及竊取用戶個人數(shù)據(jù)的行為。其區(qū)別在于攻擊受害用戶設(shè)備后獲取隱私數(shù)據(jù)的手段不同。

第一種類型：

以樣本7692A28896181845219DB5089CFBEC4D為例，該變種主要竊取用戶的短信數(shù)據(jù)。它會設(shè)置接收器專門用于監(jiān)聽收到新消息的事件，一旦有來信則立即獲取其發(fā)信方電話號碼以及短信內(nèi)容，并轉(zhuǎn)發(fā)至指定號碼。

第二種類型：

以樣本4AD7843644D8731F51A8AC2F24A45CB4為例，該變種的竊取對象不再局限于短信，而是拓展至被攻擊設(shè)備的固件信息、通訊運營商信息等。另外該變種還會檢視設(shè)備的響鈴模式并私自將其調(diào)為靜音。

就竊取受害用戶隱私數(shù)據(jù)的手段以及竊取的數(shù)據(jù)種類而言，第二類變種是后續(xù)階段其他病毒變種的元祖。

綜合這一階段的病毒樣本，我們發(fā)現(xiàn)，不論采用哪種方式獲取來自受攻擊設(shè)備的信息，其對抗性都較弱，對一些容易暴露自己的數(shù)據(jù)基本沒有保護。比如我們從中挖掘到的一些短信轉(zhuǎn)發(fā)地址以及遠程服務(wù)器IP地址和端口號等信息，都是直接以明文形式硬編碼在程序中的，很容易被反編譯逆向分析，也難逃手機安全軟件的查殺。

第二階段：平穩(wěn)期（2015.3~2015.8）

該階段是詐騙的平穩(wěn)期，或者也可以稱為低潮期。這一階段的攻擊表現(xiàn)得不是很活躍。可以理解為詐騙分子的攻擊欲望有所衰減，或是蓄勢發(fā)起新一輪攻擊。總體而言，病毒量明顯減少。

至于階段樣本中存在的一些新變種，多是在萌芽期第二種類型病毒變種的基礎(chǔ)上進行結(jié)構(gòu)形態(tài)上的改變，同時采用了代碼混淆技術(shù)，做了初步的對抗。但其在具體功能上幾乎沒有發(fā)生任何改變。

第三階段：一次活躍期（2015.9~2016.2）

這一階段與上一階段有著明顯的分界線。2015年9月1日，手機卡實名制的法規(guī)正式開始施行。手機號碼與個人身份證綁定，這就意味著攻擊者難以再通過短信轉(zhuǎn)發(fā)的手段獲取受害者的隱私數(shù)據(jù)，因為攻擊者手機號的暴露極大地增加了攻擊者被追蹤到的風險。

因此，2015年10月以后捕獲到的病毒新變種中，短信轉(zhuǎn)發(fā)用到的手機號碼以及一些指定的短信內(nèi)容不再直接出現(xiàn)于程序代碼中，而是通過聯(lián)網(wǎng)從遠程服務(wù)器端下載并解析獲取。

從病毒功能上看，該階段與上一階段沒有太大變化，仍是以劫持電話號碼及竊取用戶隱私數(shù)據(jù)為主。

但是攻擊范圍在本階段達到了前所未有的高峰。一方面，病毒的感染量激增，病毒樣本層出不窮；另一方面，之前惡意服務(wù)器幾乎都設(shè)置在香港，這一階段陸續(xù)出現(xiàn)了韓國、新加坡、日本等新的地點。我們可以推測這是攻擊者在為更大規(guī)模的電信詐騙做準備，同時更好地隱匿自身蹤跡，逃避偵查。這次攻擊高峰直至次年2月才逐漸平息。

第四階段：二次活躍期（2016.11至今）

第一次活躍期過后，詐騙犯罪活動又歷經(jīng)了半年多的平穩(wěn)期。在這期間，病毒樣本數(shù)量雖有明顯減少，但仍可持續(xù)捕獲。病毒樣本功能未發(fā)生較大變化。

直到今年11月上旬，該病毒攻擊再次進入活躍期。從新一輪攻擊中捕獲到的樣本來看，該病毒一部分沿用了上一階段的變種，有些加入了新的對抗機制。另一部分則采用了新型變種，將竊取數(shù)據(jù)上傳服務(wù)器的功能實現(xiàn)從Java層轉(zhuǎn)移至SO動態(tài)鏈接庫，攻擊所需的資料更多是通過從遠程服務(wù)器下載獲取。攻擊的危險性與不確定性都有所增強，同時也進一步增加了安全檢測和逆向分析的難度。

從本階段的攻擊規(guī)模來看，僅11月8日至13日不到一周的時間里，我們就捕獲到了35個病毒樣本。

截至11月13日，該病毒樣本日均捕獲量近6個，詐騙活動仍在持續(xù)。

遠程服務(wù)器IP溯源

對遠程服務(wù)器進行溯源分析，我們可以發(fā)現(xiàn)服務(wù)器大多分布在香港，并在后期擴散至韓國、日本、美國等國家和地區(qū)。通過將獲取到的IP地址在WHOIS和VT等第三方數(shù)據(jù)源進行信息反查，得到如下表所示的結(jié)果。特別地，這些歸屬地只是詐騙分子利用的服務(wù)器所在地。

注：表中數(shù)據(jù)來自相關(guān)IP在whois.net及virustotal.com的查詢結(jié)果

總結(jié)

通過對該病毒的詳細分析，我們發(fā)現(xiàn)該病毒迄今已使用了6種不同形態(tài)的木馬。除去最開始可能用作測試的一種，其它的按照結(jié)構(gòu)、功能等指標大致可以分為四代。早期的木馬基本不具備對抗行為，包括短信轉(zhuǎn)發(fā)地址的電話號碼和隱私數(shù)據(jù)上傳的服務(wù)器IP等皆明文硬編碼在程序中，較容易被分析追蹤和查殺。到2015年9月1日，手機卡實名制正式開始實施，這意味著攻擊者信息更容易被偵查。

就在同年10月，病毒新變種開始采取混淆等對抗手段隱藏攻擊者信息，短信發(fā)送地址及短信內(nèi)容等數(shù)據(jù)也轉(zhuǎn)而通過從服務(wù)器下載獲取。到2016年11月，病毒將竊取數(shù)據(jù)上傳服務(wù)器的功能實現(xiàn)部分從Java層轉(zhuǎn)移至SO動態(tài)鏈接庫，攻擊所需的資料更多是從遠程服務(wù)器下載獲取，攻擊的危險性與不確定性都有所增強，在一定程度上增加了安全監(jiān)測和逆向分析的難度。綜合來看，該電信詐騙持續(xù)的周期較長（持續(xù)2年以上），攻擊手段不斷變換。我們可以推斷犯罪分子可能為混跡在港臺地區(qū)的詐騙組織，具有高度的組織化，其詐騙行為極端惡劣，需要引起足夠重視。

另外，縱觀至今的詐騙活動周期，高峰往往起始于每年年末（9~11月）并結(jié)束于次年年初（2月左右），說明年終歲末通常是電信詐騙的高發(fā)期。時值年關(guān)，廣大手機用戶務(wù)必當心，謹防受騙。

安全建議

針對這類惡意應(yīng)用， AVL移動反病毒引擎合作方產(chǎn)品已經(jīng)實現(xiàn)全面查殺。安天移動安全團隊提醒您：

謹慎點擊短信中附帶的鏈接；

增強主動防范意識，不要輕信此類電信詐騙信息。如需查證，請盡量采用多種渠道進行確認，比如使用其他手機撥打電話確認等；

不要在任何場合隨意泄露自身隱私信息，注重自身隱私保護；

建議在手機中至少安裝一款殺毒軟件，同時保持定期掃描的習慣。

P.S. 本文頭圖是曾經(jīng)遭遇過電信詐騙的湯唯。

安天移動安全公司：

安天移動安全成立于2010年，是安天實驗室旗下專注于移動互聯(lián)網(wǎng)安全技術(shù)和安全產(chǎn)品研發(fā)的公司。安天移動安全公司核心產(chǎn)品體系為AVL Inside移動反病毒引擎和AVL Insight移動威脅情報平臺。

AVL Inside曾以年度最高平均檢出率榮獲國際權(quán)威測評機構(gòu)AV-TEST頒發(fā)的“移動設(shè)備最佳防護”獎項，這是亞洲安全廠商首次獲此殊榮。AVL Insight是國內(nèi)首個移動威脅情報大數(shù)據(jù)平臺，主要用于呈現(xiàn)移動威脅的高價值情報信息，通過對移動威脅的全面感知能力和快速分析響應(yīng)能力，提供對抗移動威脅的預警和處置策略。

目前安天移動安全公司已與OPPO、VIVO、小米MIUI、阿里云YunOS、金立、步步高、努比亞、樂視、獵豹、LBE安全大師、安卓清理大師、AMC等國內(nèi)外50多家知名廠商建立合作，為全球6億終端用戶保駕護航。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。