銀行短信也有假！這是一次我親歷的釣魚短信攻擊，攻擊者使用偽基站偽裝成銀行的短信服務(wù)號發(fā)送通知短信，因此具有極強(qiáng)的迷惑性，普通用戶根本無法分辨?，F(xiàn)記錄下攻擊方式，并進(jìn)行簡單分析，便于大家提高甄別信息真?zhèn)蔚乃?，避免更多的人受到財產(chǎn)損失：

緣由

昨天真的是美好的一天，廣州風(fēng)和日麗，陽光燦爛。又加上閏秒來臨，早晨可以多睡一會兒，或者可以晚一點(diǎn)上班——雖然只有那么一秒的時間，但這便宜來的不費(fèi)吹灰之力，絕對是白撿的。

想到這里，就心情大好。

就在上班途中，我忽然收到一條發(fā)自95555的通知短信。打開一看，是一條來自銀行短信中心的積分兌換提醒。如圖：

圖中有三條短信，前兩條都是6月30日本人取款時候的正常業(yè)務(wù)通知，最后一條是剛收到的。乍看之下，沒啥問題，但是，隱約覺得短信內(nèi)容有那么一點(diǎn)點(diǎn)奇怪，對于一個細(xì)節(jié)敏感的強(qiáng)迫癥來說，不尋常，列出疑點(diǎn)如下：

1、地址是山寨的，這個最容易分辨。但是，還是很像?。?/span>

2、標(biāo)點(diǎn)符號的全角半角混用，不像嚴(yán)謹(jǐn)?shù)膶I(yè)人士所為。

3、我的積分早被老婆用光啦，還用等著清零？

除此之外，這條短信迷惑性超高！剛看到的一瞬間甚至讓我恍惚回憶了一下我的積分情況。對于英文不好排斥看網(wǎng)址的客戶，這個短信簡直具有絕對的殺傷力。特別地，最容易讓人產(chǎn)生信任感的是短信的發(fā)送方：95555，有些手機(jī)自帶的地址簿軟件甚至都自動給這個號碼配上了圖標(biāo)，比如我的：

分析

順手把短信截圖發(fā)給群里的朋友們看，然后開始研究。有朋友回復(fù)：“會不會是號碼比較像，被手機(jī)錯誤歸類了”。

——呃，簡直是黑我大華為的短信歸檔程序！

怎么可能？

好吧，我看看。

比較之下，幾條關(guān)鍵區(qū)別：

• 首先確認(rèn)這兩條都是短信，兩條信息的源地址都是95555。

• 新短信沒有服務(wù)中心（SMSC），真實(shí)短信的服務(wù)中心號碼為：+8613800200571（屬浙江移動）。

• 新短信的發(fā)送時間是2009年，真實(shí)短信的發(fā)送時間是昨天業(yè)務(wù)辦理時。

短消息點(diǎn)對點(diǎn)協(xié)議（CMPP，SMPP）中，對短信生命周期的約定是最長48小時。另外，手機(jī)接收到的短信息，都會顯示發(fā)送者的短信中心（SMSC）。

基于對短信通訊協(xié)議的理解，馬上可以斷定：新來的短信不是來自正常的移動網(wǎng)絡(luò)——而是移動偽基站！

——即使，發(fā)送地址是95555。

頭一回！

從沒碰到過！

追查

由于今天閏了一秒，我又沒有睡懶覺，所以有機(jī)會比之前更早到公司。又所以有多出來那么一點(diǎn)點(diǎn)時間，可以研究一下這個釣魚短信。

點(diǎn)開偽基站發(fā)送的釣魚網(wǎng)站地址，會打開一個山寨的銀行網(wǎng)頁，不那么像，不過還湊合。網(wǎng)頁會逐步引導(dǎo)用戶填寫資料，當(dāng)然，我機(jī)智的填寫了隔壁鄰居的信息。網(wǎng)頁最后一步，是讓下載一個“招行積分”APP，點(diǎn)任何鏈接都是下載這個APP。當(dāng)然——它也是山寨的。如圖：

按照提示，在填寫了一些個人信息后下載了這個安卓手機(jī)程序，安裝到了我的——當(dāng)然是虛擬機(jī)中，APP安裝后會顯示在桌面應(yīng)用列表，但運(yùn)行一次或者重啟后就消失掉了。實(shí)際APP隱藏了桌面圖標(biāo)，作為一個服務(wù)潛伏了下來。手動進(jìn)入已經(jīng)安裝的應(yīng)用列表，還是能夠看到被安裝的APP。

這個APP申請了一堆高危權(quán)限，例如：開機(jī)自動啟動、收發(fā)短信、完全的網(wǎng)絡(luò)訪問、獲取位置、拍攝照片和視頻。而這其中危害最大的，就是發(fā)送和接收短信的權(quán)限。

由于很久不做安卓開發(fā)，公司電腦虛擬機(jī)相關(guān)可玩的東西不多，所以截圖之后開始做逆向靜態(tài)分析，分析過程、方法和細(xì)節(jié)略過（上班期間，時間較少，請高手指正，BOSS看到本文請…無視），只講結(jié)論。

這個APP安裝到手機(jī)后具有較大的危害性，表現(xiàn)如下：

• APP會向一個深圳的手機(jī)號碼15816857541發(fā)送短信報到（報告中招手機(jī)號）。從此中招手機(jī)變?yōu)槭芸刂频娜怆u。這月短信費(fèi)增加是確定無疑的了。

• 受害手機(jī)的短信記錄不會保存那些控制指令，所以機(jī)主感知不到。

• 控制者可以用任意手機(jī)號向受害手機(jī)發(fā)送控制指令。

• 平常APP處于潛伏狀態(tài)，當(dāng)收到特定短信后，開始啟動并作惡。

• 控制者嘗試偷取受害手機(jī)里的X.509證書文件！OMG！

• APP嘗試阻止被卸載并欺騙用戶卸載成功。

上圖可見手機(jī)號碼：15816857541。APP被安裝后，自動向這個號碼報告情況。（——深圳移動能看到這個文章不，可以O(shè)2O報案不？）

這…… 是一個專門針對手機(jī)網(wǎng)銀的木馬APP程序，偷取網(wǎng)銀X.509證書直接讓我ORZ了（發(fā)送代扣費(fèi)指令已經(jīng)過時）。上網(wǎng)搜索了一下，它的同門兄弟（或者變種）一個建行木馬在2013年就被人發(fā)現(xiàn)并分析過。看來是源碼又被賣給了新入行的小兄弟，小兄弟改了一下準(zhǔn)備開創(chuàng)一份轟轟烈烈的事業(yè)，并希望藉此譜寫一篇行業(yè)新傳奇走向人生巔峰，然后陷入囫圇。呃……

 總結(jié)

整個釣魚網(wǎng)站和木馬程序?qū)嶋H跟以往沒有太多的新意，但整體的這次釣魚攻擊，還是有2個亮點(diǎn)：

1、偽基站的引入。偽基站偽造官方短信號碼迷惑性太強(qiáng)，普通人無法分辨。殺傷力直接5分！

2、APP竊取本地證書。竊取本地證書的目的直指網(wǎng)銀，用戶資金安全堪憂。不過網(wǎng)銀認(rèn)證比較復(fù)雜，攻擊者又需要賬號等信息才能成功盜竊。給4分。

防范

短信貼圖發(fā)到朋友圈后，有技術(shù)小白朋友問如何防范此類偽基站釣魚信息。

幾點(diǎn)防范意見供參考：

1、不要貪。中獎類的消息輪不到咱普通老百姓的，看審計署審計福彩的結(jié)果就該明白。

2、不要怕。釣魚攻擊信息常危言聳聽，認(rèn)真甄別馬上就現(xiàn)原形了。

3、認(rèn)清正規(guī)網(wǎng)站的地址，不安裝來歷不明的app，不在不明網(wǎng)站輸入賬號密碼。

4、水果機(jī)一般沒有這些木馬app，不過水果機(jī)在釣魚網(wǎng)站輸入密碼的時候，是一樣順暢的。

5、所以無論什么手機(jī)，都要提高防范意識。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。