15
本文作者: 何楚 | 2015-07-02 16:57 |
银行短信也有假!这是一次我亲历的钓鱼短信攻击,攻击者使用伪基站伪装成银行的短信服务号发送通知短信,因此具有极强的迷惑性,普通用户根本无法分辨。现记录下攻击方式,并进行简单分析,便于大家提高甄别信息真伪的水平,避免更多的人受到财产损失:
缘由
昨天真的是美好的一天,广州风和日丽,阳光灿烂。又加上闰秒来临,早晨可以多睡一会儿,或者可以晚一点上班——虽然只有那么一秒的时间,但这便宜来的不费吹灰之力,绝对是白捡的。
想到这里,就心情大好。
就在上班途中,我忽然收到一条发自95555的通知短信。打开一看,是一条来自银行短信中心的积分兑换提醒。如图:
图中有三条短信,前两条都是6月30日本人取款时候的正常业务通知,最后一条是刚收到的。乍看之下,没啥问题,但是,隐约觉得短信内容有那么一点点奇怪,对于一个细节敏感的强迫症来说,不寻常,列出疑点如下:
1、地址是山寨的,这个最容易分辨。但是,还是很像啊!
2、标点符号的全角半角混用,不像严谨的专业人士所为。
3、我的积分早被老婆用光啦,还用等着清零?
除此之外,这条短信迷惑性超高!刚看到的一瞬间甚至让我恍惚回忆了一下我的积分情况。对于英文不好排斥看网址的客户,这个短信简直具有绝对的杀伤力。特别地,最容易让人产生信任感的是短信的发送方:95555,有些手机自带的地址簿软件甚至都自动给这个号码配上了图标,比如我的:
分析
顺手把短信截图发给群里的朋友们看,然后开始研究。有朋友回复:“会不会是号码比较像,被手机错误归类了”。
——呃,简直是黑我大华为的短信归档程序!
怎么可能?
好吧,我看看。
比较之下,几条关键区别:
首先确认这两条都是短信,两条信息的源地址都是95555。
新短信没有服务中心(SMSC),真实短信的服务中心号码为:+8613800200571(属浙江移动)。
新短信的发送时间是2009年,真实短信的发送时间是昨天业务办理时。
短消息点对点协议(CMPP,SMPP)中,对短信生命周期的约定是最长48小时。另外,手机接收到的短信息,都会显示发送者的短信中心(SMSC)。
基于对短信通讯协议的理解,马上可以断定:新来的短信不是来自正常的移动网络——而是移动伪基站!
——即使,发送地址是95555。
头一回!
从没碰到过!
追查
由于今天闰了一秒,我又没有睡懒觉,所以有机会比之前更早到公司。又所以有多出来那么一点点时间,可以研究一下这个钓鱼短信。
点开伪基站发送的钓鱼网站地址,会打开一个山寨的银行网页,不那么像,不过还凑合。网页会逐步引导用户填写资料,当然,我机智的填写了隔壁邻居的信息。网页最后一步,是让下载一个“招行积分”APP,点任何链接都是下载这个APP。当然——它也是山寨的。如图:
按照提示,在填写了一些个人信息后下载了这个安卓手机程序,安装到了我的——当然是虚拟机中,APP安装后会显示在桌面应用列表,但运行一次或者重启后就消失掉了。实际APP隐藏了桌面图标,作为一个服务潜伏了下来。手动进入已经安装的应用列表,还是能够看到被安装的APP。
这个APP申请了一堆高危权限,例如:开机自动启动、收发短信、完全的网络访问、获取位置、拍摄照片和视频。而这其中危害最大的,就是发送和接收短信的权限。
由于很久不做安卓开发,公司电脑虚拟机相关可玩的东西不多,所以截图之后开始做逆向静态分析,分析过程、方法和细节略过(上班期间,时间较少,请高手指正,BOSS看到本文请…无视),只讲结论。
这个APP安装到手机后具有较大的危害性,表现如下:
APP会向一个深圳的手机号码15816857541发送短信报到(报告中招手机号)。从此中招手机变为受控制的肉鸡。这月短信费增加是确定无疑的了。
受害手机的短信记录不会保存那些控制指令,所以机主感知不到。
控制者可以用任意手机号向受害手机发送控制指令。
平常APP处于潜伏状态,当收到特定短信后,开始启动并作恶。
控制者尝试偷取受害手机里的X.509证书文件!OMG!
APP尝试阻止被卸载并欺骗用户卸载成功。
上图可见手机号码:15816857541。APP被安装后,自动向这个号码报告情况。(——深圳移动能看到这个文章不,可以O2O报案不?)
这…… 是一个专门针对手机网银的木马APP程序,偷取网银X.509证书直接让我ORZ了(发送代扣费指令已经过时)。上网搜索了一下,它的同门兄弟(或者变种)一个建行木马在2013年就被人发现并分析过。看来是源码又被卖给了新入行的小兄弟,小兄弟改了一下准备开创一份轰轰烈烈的事业,并希望藉此谱写一篇行业新传奇走向人生巅峰,然后陷入囫囵。呃……
总结
整个钓鱼网站和木马程序实际跟以往没有太多的新意,但整体的这次钓鱼攻击,还是有2个亮点:
1、伪基站的引入。伪基站伪造官方短信号码迷惑性太强,普通人无法分辨。杀伤力直接5分!
2、APP窃取本地证书。窃取本地证书的目的直指网银,用户资金安全堪忧。不过网银认证比较复杂,攻击者又需要账号等信息才能成功盗窃。给4分。
防范
短信贴图发到朋友圈后,有技术小白朋友问如何防范此类伪基站钓鱼信息。
几点防范意见供参考:
1、不要贪。中奖类的消息轮不到咱普通老百姓的,看审计署审计福彩的结果就该明白。
2、不要怕。钓鱼攻击信息常危言耸听,认真甄别马上就现原形了。
3、认清正规网站的地址,不安装来历不明的app,不在不明网站输入账号密码。
4、水果机一般没有这些木马app,不过水果机在钓鱼网站输入密码的时候,是一样顺畅的。
5、所以无论什么手机,都要提高防范意识。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。