銀行短信也有假！這是一次我親歷的釣魚(yú)短信攻擊，攻擊者使用偽基站偽裝成銀行的短信服務(wù)號(hào)發(fā)送通知短信，因此具有極強(qiáng)的迷惑性，普通用戶根本無(wú)法分辨?，F(xiàn)記錄下攻擊方式，并進(jìn)行簡(jiǎn)單分析，便于大家提高甄別信息真?zhèn)蔚乃?，避免更多的人受到?cái)產(chǎn)損失：

緣由

昨天真的是美好的一天，廣州風(fēng)和日麗，陽(yáng)光燦爛。又加上閏秒來(lái)臨，早晨可以多睡一會(huì)兒，或者可以晚一點(diǎn)上班——雖然只有那么一秒的時(shí)間，但這便宜來(lái)的不費(fèi)吹灰之力，絕對(duì)是白撿的。

想到這里，就心情大好。

就在上班途中，我忽然收到一條發(fā)自95555的通知短信。打開(kāi)一看，是一條來(lái)自銀行短信中心的積分兌換提醒。如圖：

圖中有三條短信，前兩條都是6月30日本人取款時(shí)候的正常業(yè)務(wù)通知，最后一條是剛收到的。乍看之下，沒(méi)啥問(wèn)題，但是，隱約覺(jué)得短信內(nèi)容有那么一點(diǎn)點(diǎn)奇怪，對(duì)于一個(gè)細(xì)節(jié)敏感的強(qiáng)迫癥來(lái)說(shuō)，不尋常，列出疑點(diǎn)如下：

1、地址是山寨的，這個(gè)最容易分辨。但是，還是很像??！

2、標(biāo)點(diǎn)符號(hào)的全角半角混用，不像嚴(yán)謹(jǐn)?shù)膶I(yè)人士所為。

3、我的積分早被老婆用光啦，還用等著清零？

除此之外，這條短信迷惑性超高！剛看到的一瞬間甚至讓我恍惚回憶了一下我的積分情況。對(duì)于英文不好排斥看網(wǎng)址的客戶，這個(gè)短信簡(jiǎn)直具有絕對(duì)的殺傷力。特別地，最容易讓人產(chǎn)生信任感的是短信的發(fā)送方：95555，有些手機(jī)自帶的地址簿軟件甚至都自動(dòng)給這個(gè)號(hào)碼配上了圖標(biāo)，比如我的：

分析

順手把短信截圖發(fā)給群里的朋友們看，然后開(kāi)始研究。有朋友回復(fù)：“會(huì)不會(huì)是號(hào)碼比較像，被手機(jī)錯(cuò)誤歸類了”。

——呃，簡(jiǎn)直是黑我大華為的短信歸檔程序！

怎么可能？

好吧，我看看。

比較之下，幾條關(guān)鍵區(qū)別：

• 首先確認(rèn)這兩條都是短信，兩條信息的源地址都是95555。

• 新短信沒(méi)有服務(wù)中心（SMSC），真實(shí)短信的服務(wù)中心號(hào)碼為：+8613800200571（屬浙江移動(dòng)）。

• 新短信的發(fā)送時(shí)間是2009年，真實(shí)短信的發(fā)送時(shí)間是昨天業(yè)務(wù)辦理時(shí)。

短消息點(diǎn)對(duì)點(diǎn)協(xié)議（CMPP，SMPP）中，對(duì)短信生命周期的約定是最長(zhǎng)48小時(shí)。另外，手機(jī)接收到的短信息，都會(huì)顯示發(fā)送者的短信中心（SMSC）。

基于對(duì)短信通訊協(xié)議的理解，馬上可以斷定：新來(lái)的短信不是來(lái)自正常的移動(dòng)網(wǎng)絡(luò)——而是移動(dòng)偽基站！

——即使，發(fā)送地址是95555。

頭一回！

從沒(méi)碰到過(guò)！

追查

由于今天閏了一秒，我又沒(méi)有睡懶覺(jué)，所以有機(jī)會(huì)比之前更早到公司。又所以有多出來(lái)那么一點(diǎn)點(diǎn)時(shí)間，可以研究一下這個(gè)釣魚(yú)短信。

點(diǎn)開(kāi)偽基站發(fā)送的釣魚(yú)網(wǎng)站地址，會(huì)打開(kāi)一個(gè)山寨的銀行網(wǎng)頁(yè)，不那么像，不過(guò)還湊合。網(wǎng)頁(yè)會(huì)逐步引導(dǎo)用戶填寫(xiě)資料，當(dāng)然，我機(jī)智的填寫(xiě)了隔壁鄰居的信息。網(wǎng)頁(yè)最后一步，是讓下載一個(gè)“招行積分”APP，點(diǎn)任何鏈接都是下載這個(gè)APP。當(dāng)然——它也是山寨的。如圖：

按照提示，在填寫(xiě)了一些個(gè)人信息后下載了這個(gè)安卓手機(jī)程序，安裝到了我的——當(dāng)然是虛擬機(jī)中，APP安裝后會(huì)顯示在桌面應(yīng)用列表，但運(yùn)行一次或者重啟后就消失掉了。實(shí)際APP隱藏了桌面圖標(biāo)，作為一個(gè)服務(wù)潛伏了下來(lái)。手動(dòng)進(jìn)入已經(jīng)安裝的應(yīng)用列表，還是能夠看到被安裝的APP。

這個(gè)APP申請(qǐng)了一堆高危權(quán)限，例如：開(kāi)機(jī)自動(dòng)啟動(dòng)、收發(fā)短信、完全的網(wǎng)絡(luò)訪問(wèn)、獲取位置、拍攝照片和視頻。而這其中危害最大的，就是發(fā)送和接收短信的權(quán)限。

由于很久不做安卓開(kāi)發(fā)，公司電腦虛擬機(jī)相關(guān)可玩的東西不多，所以截圖之后開(kāi)始做逆向靜態(tài)分析，分析過(guò)程、方法和細(xì)節(jié)略過(guò)（上班期間，時(shí)間較少，請(qǐng)高手指正，BOSS看到本文請(qǐng)…無(wú)視），只講結(jié)論。

這個(gè)APP安裝到手機(jī)后具有較大的危害性，表現(xiàn)如下：

• APP會(huì)向一個(gè)深圳的手機(jī)號(hào)碼15816857541發(fā)送短信報(bào)到（報(bào)告中招手機(jī)號(hào)）。從此中招手機(jī)變?yōu)槭芸刂频娜怆u。這月短信費(fèi)增加是確定無(wú)疑的了。

• 受害手機(jī)的短信記錄不會(huì)保存那些控制指令，所以機(jī)主感知不到。

• 控制者可以用任意手機(jī)號(hào)向受害手機(jī)發(fā)送控制指令。

• 平常APP處于潛伏狀態(tài)，當(dāng)收到特定短信后，開(kāi)始啟動(dòng)并作惡。

• 控制者嘗試偷取受害手機(jī)里的X.509證書(shū)文件！OMG！

• APP嘗試阻止被卸載并欺騙用戶卸載成功。

上圖可見(jiàn)手機(jī)號(hào)碼：15816857541。APP被安裝后，自動(dòng)向這個(gè)號(hào)碼報(bào)告情況。（——深圳移動(dòng)能看到這個(gè)文章不，可以O(shè)2O報(bào)案不？）

這…… 是一個(gè)專門(mén)針對(duì)手機(jī)網(wǎng)銀的木馬APP程序，偷取網(wǎng)銀X.509證書(shū)直接讓我ORZ了（發(fā)送代扣費(fèi)指令已經(jīng)過(guò)時(shí)）。上網(wǎng)搜索了一下，它的同門(mén)兄弟（或者變種）一個(gè)建行木馬在2013年就被人發(fā)現(xiàn)并分析過(guò)。看來(lái)是源碼又被賣給了新入行的小兄弟，小兄弟改了一下準(zhǔn)備開(kāi)創(chuàng)一份轟轟烈烈的事業(yè)，并希望藉此譜寫(xiě)一篇行業(yè)新傳奇走向人生巔峰，然后陷入囫圇。呃……

 總結(jié)

整個(gè)釣魚(yú)網(wǎng)站和木馬程序?qū)嶋H跟以往沒(méi)有太多的新意，但整體的這次釣魚(yú)攻擊，還是有2個(gè)亮點(diǎn)：

1、偽基站的引入。偽基站偽造官方短信號(hào)碼迷惑性太強(qiáng)，普通人無(wú)法分辨。殺傷力直接5分！

2、APP竊取本地證書(shū)。竊取本地證書(shū)的目的直指網(wǎng)銀，用戶資金安全堪憂。不過(guò)網(wǎng)銀認(rèn)證比較復(fù)雜，攻擊者又需要賬號(hào)等信息才能成功盜竊。給4分。

防范

短信貼圖發(fā)到朋友圈后，有技術(shù)小白朋友問(wèn)如何防范此類偽基站釣魚(yú)信息。

幾點(diǎn)防范意見(jiàn)供參考：

1、不要貪。中獎(jiǎng)?lì)惖南⑤啿坏皆燮胀ɡ习傩盏模磳徲?jì)署審計(jì)福彩的結(jié)果就該明白。

2、不要怕。釣魚(yú)攻擊信息常危言聳聽(tīng)，認(rèn)真甄別馬上就現(xiàn)原形了。

3、認(rèn)清正規(guī)網(wǎng)站的地址，不安裝來(lái)歷不明的app，不在不明網(wǎng)站輸入賬號(hào)密碼。

4、水果機(jī)一般沒(méi)有這些木馬app，不過(guò)水果機(jī)在釣魚(yú)網(wǎng)站輸入密碼的時(shí)候，是一樣順暢的。

5、所以無(wú)論什么手機(jī)，都要提高防范意識(shí)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。