銀行短信也有假！這是一次我親歷的釣魚短信攻擊，攻擊者使用偽基站偽裝成銀行的短信服務號發(fā)送通知短信，因此具有極強的迷惑性，普通用戶根本無法分辨?，F(xiàn)記錄下攻擊方式，并進行簡單分析，便于大家提高甄別信息真?zhèn)蔚乃?，避免更多的人受到財產(chǎn)損失：

緣由

昨天真的是美好的一天，廣州風和日麗，陽光燦爛。又加上閏秒來臨，早晨可以多睡一會兒，或者可以晚一點上班——雖然只有那么一秒的時間，但這便宜來的不費吹灰之力，絕對是白撿的。

想到這里，就心情大好。

就在上班途中，我忽然收到一條發(fā)自95555的通知短信。打開一看，是一條來自銀行短信中心的積分兌換提醒。如圖：

圖中有三條短信，前兩條都是6月30日本人取款時候的正常業(yè)務通知，最后一條是剛收到的。乍看之下，沒啥問題，但是，隱約覺得短信內(nèi)容有那么一點點奇怪，對于一個細節(jié)敏感的強迫癥來說，不尋常，列出疑點如下：

1、地址是山寨的，這個最容易分辨。但是，還是很像啊！

2、標點符號的全角半角混用，不像嚴謹?shù)膶I(yè)人士所為。

3、我的積分早被老婆用光啦，還用等著清零？

除此之外，這條短信迷惑性超高！剛看到的一瞬間甚至讓我恍惚回憶了一下我的積分情況。對于英文不好排斥看網(wǎng)址的客戶，這個短信簡直具有絕對的殺傷力。特別地，最容易讓人產(chǎn)生信任感的是短信的發(fā)送方：95555，有些手機自帶的地址簿軟件甚至都自動給這個號碼配上了圖標，比如我的：

分析

順手把短信截圖發(fā)給群里的朋友們看，然后開始研究。有朋友回復：“會不會是號碼比較像，被手機錯誤歸類了”。

——呃，簡直是黑我大華為的短信歸檔程序！

怎么可能？

好吧，我看看。

比較之下，幾條關(guān)鍵區(qū)別：

• 首先確認這兩條都是短信，兩條信息的源地址都是95555。

• 新短信沒有服務中心（SMSC），真實短信的服務中心號碼為：+8613800200571（屬浙江移動）。

• 新短信的發(fā)送時間是2009年，真實短信的發(fā)送時間是昨天業(yè)務辦理時。

短消息點對點協(xié)議（CMPP，SMPP）中，對短信生命周期的約定是最長48小時。另外，手機接收到的短信息，都會顯示發(fā)送者的短信中心（SMSC）。

基于對短信通訊協(xié)議的理解，馬上可以斷定：新來的短信不是來自正常的移動網(wǎng)絡——而是移動偽基站！

——即使，發(fā)送地址是95555。

頭一回！

從沒碰到過！

追查

由于今天閏了一秒，我又沒有睡懶覺，所以有機會比之前更早到公司。又所以有多出來那么一點點時間，可以研究一下這個釣魚短信。

點開偽基站發(fā)送的釣魚網(wǎng)站地址，會打開一個山寨的銀行網(wǎng)頁，不那么像，不過還湊合。網(wǎng)頁會逐步引導用戶填寫資料，當然，我機智的填寫了隔壁鄰居的信息。網(wǎng)頁最后一步，是讓下載一個“招行積分”APP，點任何鏈接都是下載這個APP。當然——它也是山寨的。如圖：

按照提示，在填寫了一些個人信息后下載了這個安卓手機程序，安裝到了我的——當然是虛擬機中，APP安裝后會顯示在桌面應用列表，但運行一次或者重啟后就消失掉了。實際APP隱藏了桌面圖標，作為一個服務潛伏了下來。手動進入已經(jīng)安裝的應用列表，還是能夠看到被安裝的APP。

這個APP申請了一堆高危權(quán)限，例如：開機自動啟動、收發(fā)短信、完全的網(wǎng)絡訪問、獲取位置、拍攝照片和視頻。而這其中危害最大的，就是發(fā)送和接收短信的權(quán)限。

由于很久不做安卓開發(fā)，公司電腦虛擬機相關(guān)可玩的東西不多，所以截圖之后開始做逆向靜態(tài)分析，分析過程、方法和細節(jié)略過（上班期間，時間較少，請高手指正，BOSS看到本文請…無視），只講結(jié)論。

這個APP安裝到手機后具有較大的危害性，表現(xiàn)如下：

• APP會向一個深圳的手機號碼15816857541發(fā)送短信報到（報告中招手機號）。從此中招手機變?yōu)槭芸刂频娜怆u。這月短信費增加是確定無疑的了。

• 受害手機的短信記錄不會保存那些控制指令，所以機主感知不到。

• 控制者可以用任意手機號向受害手機發(fā)送控制指令。

• 平常APP處于潛伏狀態(tài)，當收到特定短信后，開始啟動并作惡。

• 控制者嘗試偷取受害手機里的X.509證書文件！OMG！

• APP嘗試阻止被卸載并欺騙用戶卸載成功。

上圖可見手機號碼：15816857541。APP被安裝后，自動向這個號碼報告情況。（——深圳移動能看到這個文章不，可以O2O報案不？）

這…… 是一個專門針對手機網(wǎng)銀的木馬APP程序，偷取網(wǎng)銀X.509證書直接讓我ORZ了（發(fā)送代扣費指令已經(jīng)過時）。上網(wǎng)搜索了一下，它的同門兄弟（或者變種）一個建行木馬在2013年就被人發(fā)現(xiàn)并分析過。看來是源碼又被賣給了新入行的小兄弟，小兄弟改了一下準備開創(chuàng)一份轟轟烈烈的事業(yè)，并希望藉此譜寫一篇行業(yè)新傳奇走向人生巔峰，然后陷入囫圇。呃……

 總結(jié)

整個釣魚網(wǎng)站和木馬程序?qū)嶋H跟以往沒有太多的新意，但整體的這次釣魚攻擊，還是有2個亮點：

1、偽基站的引入。偽基站偽造官方短信號碼迷惑性太強，普通人無法分辨。殺傷力直接5分！

2、APP竊取本地證書。竊取本地證書的目的直指網(wǎng)銀，用戶資金安全堪憂。不過網(wǎng)銀認證比較復雜，攻擊者又需要賬號等信息才能成功盜竊。給4分。

防范

短信貼圖發(fā)到朋友圈后，有技術(shù)小白朋友問如何防范此類偽基站釣魚信息。

幾點防范意見供參考：

1、不要貪。中獎類的消息輪不到咱普通老百姓的，看審計署審計福彩的結(jié)果就該明白。

2、不要怕。釣魚攻擊信息常危言聳聽，認真甄別馬上就現(xiàn)原形了。

3、認清正規(guī)網(wǎng)站的地址，不安裝來歷不明的app，不在不明網(wǎng)站輸入賬號密碼。

4、水果機一般沒有這些木馬app，不過水果機在釣魚網(wǎng)站輸入密碼的時候，是一樣順暢的。

5、所以無論什么手機，都要提高防范意識。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。