0x00 引言

---

根據獵豹安全實驗室的雲端監控資料顯示，近1個月截獲的“簡訊攔截”類樣本變種數量超過10萬，影響使用者數達數百萬之多。“簡訊攔截”木馬作為安卓手機病毒中的一類常見樣本，近兩年來顯現出爆發增長的趨勢，其背後的黑色產業鏈也日益發展壯大，“簡訊攔截馬”的日趨氾濫已經成為移動支付、網銀財產等各環節的焦點安全問題。

“簡訊攔截馬”導致網銀資金被盜的新聞屢見報端，作為一個安全廠商我們對受害使用者的遭遇也深感痛心，這也推動我們在查殺對抗“簡訊攔截馬”的工作中投入更多的努力。在安全對抗過程中我們對“簡訊攔截馬”黑產的運作有了一些瞭解，在針對黑產團伙進行追蹤取證方面也做出了一些嘗試，下面把在我們這個過程中產生的一些經驗和思考做一個分享，希望可以讓使用者能夠更多地瞭解和規避此類安全風險，也希望安全圈內有更多的目光可以關注到這個問題。

0x01 典型樣本分析

---

典型的“簡訊攔截馬”從技術原理和實現上看並不複雜，大多透過註冊簡訊廣播(BroadcastReceiver)或者觀察模式(ContenetObserver)監控手機簡訊的收發過程，當然也出現一些功能更全面強大的遠控類手機木馬，簡訊攔截只是其中的一項功能。網上類似的簡訊攔截原始碼也非常多，瞭解過安卓開發的都可以很快編寫出一個“簡訊攔截馬”，這也是“簡訊攔截馬”變種速度快、傳播氾濫的一個重要原因。

在我們近期的雲端監控中有一類“簡訊攔截馬”變種非常活躍，佔據總體樣本量的15%左右。該樣本使用“stalker”作為配置資訊的加密金鑰，所以我們將其命名為“潛行者”，下面我們就以它為例對典型“簡訊攔截馬”進行簡單的技術分析。

從上圖可以看出一個“簡訊攔截馬”的典型功能結構，在我們對“潛行者”樣本的分析過程中也發現一些比較有意思的細節，如下：

1. 出於相容性考慮，木馬同時使用了“廣播機制”和“觀察者模式”兩種方法進行簡訊攔截。從木馬啟動的時候檢查授權時間也可以看出這個變種是由木馬作者開發以後進行外部出售的。

   

2. 木馬在向控制手機回傳部分簡訊時對敏感關鍵詞進行了過濾替換，防止手機安全軟體進行監控攔截。

   

0x02 黑色產業鏈結構

---

如下圖所示，“攔截馬”黑色產業鏈條從整體分工層次上看相對比較清晰，木馬作者、分發傳播、出料、洗攔截料、轉賬洗錢構成了黑色產業鏈的關鍵環節，其中握有大量“攔截料”的料主在整個鏈條中處於相對核心的地位。

另一方面從實際運作來看整個圈子又具有一定程度的複雜性，除了上述幾個重要參與角色，每個產業鏈環節還會有一些其他黑產人員參與其中，比如盜賣個人資訊、黑卡買賣、釣魚後臺維護、木馬免殺處理等等，甚至還包括一些境外洗錢組織的身影；黑產圈子內部也充滿了欺詐，“黑料”這樣的事情也成為常態，具有一定技術實力的團伙才是暴利所得者；另外某些技術、資源實力強大的團伙，可能會包攬整個鏈條的多個甚至是全部環節，其暴利收益自然也是最高的。

0x03 傳播渠道

---

伴隨著“簡訊攔截”黑色產業鏈的發展，技術門檻低、回報收益高的特點吸引著眾多的各路黑產從業人員相繼加入，攔截馬的傳播渠道也隨之日漸豐富，各種釣魚誘騙手段層出不窮，從偽基站、簡訊貓等硬體裝置群發、色情釣魚網站誘導以及魚龍混雜的第三方app分發渠道均有介入。

我們從近期攔截的“簡訊攔截馬”中抽取了2000個活躍樣本，對其傳播使用的檔名和部分釣魚簡訊內容進行了關鍵詞提取，統計結果如下圖所示，從中我們可以看出利用“相簿相片”、“檔案資料”等關鍵詞的釣魚手法佔據了一半以上，這類關鍵詞一般用於通訊錄群發這樣的病毒式傳播手段，攔截量相對較高；其次是偽基站類的釣魚手法，常見型別如10086積分兌換、銀行升級等；還有一部分是針對特定人群的釣魚攻擊，比如車輛違章、校園通、成績單等，這些往往是由於車主或者家長資訊洩漏導致的；最後還有一些是利用社會熱點進行傳播的，比如前段時間很火的“優衣庫”事件。

如下圖所示，傳播渠道的變化還表現出一個重要趨勢，從早期“普遍撒網”的暴力傳播模式開始向定向精準化釣魚攻擊轉變。尤其是近年來個人資訊資料的洩漏買賣行為日益活躍，成為攔截馬定向傳播的一大幫兇，黑產團伙透過購買商業貸款、信用卡辦理、網購使用者等具有較高目標價值的個人資料，然後根據相關情景去精心構造釣魚簡訊，由於簡訊中包含使用者姓名、身份證號或者銀行卡號等個人資料，而且簡訊的情景也符合近期辦理的業務，收到釣魚簡訊的使用者往往放鬆了安全警惕導致中招；又例如出現一些“揹包客”隨身攜帶偽基站裝置群發釣魚簡訊，他們主要在大型購物商場、高階寫字樓等區域活動，這些地方人流量足夠大，更重要的是在此類區域活動的人群具有更高的“經濟附加值”。

0x04 洗料通道

---

使用者銀行卡卡內的資金能夠被黑產團伙順利轉移，一方面是由於使用者網銀資訊洩漏和手機被木馬控制，另一方面重要原因在於國內各類混亂的支付渠道缺乏有效安全監管，或多或少都存在一些風險控制上的漏洞。以我們去年跟進的一個“洗料通道”案件為例，北京某第三方平臺的支付渠道被黑產團伙利用，短短數月的時間內受害使用者多達數千人，損失金額從幾十到數萬不等。

黑產團伙“洗攔截料”的方式多種多樣，不同“洗料通道”的轉賬限額也有差異。黑產團伙一般是透過銀行、商戶或者第三方支付的各類快捷支付渠道將使用者卡內資金轉走，從部分受害使用者追查的消費記錄來看，資金流向也五花八門，包括購買遊戲幣、彩票、話費充值、機票門票等多種多樣的洗料方法。有些信用卡cvv碼洩漏的使用者還發現透過境外消費渠道被划走資金。有些被感染手機可能還會被訂閱一些惡意扣費服務或者使用手機話費支付購買遊戲點卡後再進行銷贓。

越來越多的認證繫結、安全驗證被轉移到使用者手機上，作為個人資訊中心的智慧手機扮演了基礎通訊之外更多的角色。一方面確實帶來了非常多的便捷，但另一方面在手機中毒這樣的特定場景下，使用者的安全防線往往變得脆弱不堪。在保持手機支付便捷性的同時，我們需要一些更安全可靠的認證方式，比如指紋認證。安全對抗可能永遠都不會止步，但是我們相信未來可以做得更好。

0x05 溯源取證案例

---

在近兩年與“簡訊攔截馬”的安全對抗中，我們也實際接觸到了非常多的受害使用者，被盜資金少則數百上千，多則數十萬，而多方互相推諉責任、立案取證追查困難可能是大多數受害使用者得到的最終結果。拋開外部各方的其他因素，此類網路犯罪的技術取證也確實存在一些難點，以“簡訊攔截馬”為例：

1. 黑產各環節關係交錯複雜，一條“攔截料”被洗之前往往可能被買賣轉手多次；
2. 其用於釣魚網站搭建或者接收控制的後臺伺服器較多使用國外主機；
3. 用於命令控制的手機卡基本都是不記名卡，追查定位相對困難；
4. 盜洗的資金也往往經過較多次的分流清洗，基本上都使用黑卡轉賬，給資金流向追蹤帶來困難。

當然作為一家安全廠商，在這場安全對抗中也有我們自己的優勢，針對此類詐騙簡訊、釣魚網站以及“簡訊攔截馬” 變種傳播速度較快的特點，我們最佳化加強了雲端安全鑑定機制，可以做到更快的全網響應攔截，避免其進一步傳播危害使用者；另一方面透過對這些分散的網銀釣魚攻擊、手機木馬傳播等攔截資料的彙總分析，從中我們可以梳理出全國各地區活躍度較高的黑產團伙，然後進行更具針對性的監控和追蹤取證。

[一]、偽基站簡訊釣魚案例

偽基站簡訊釣魚是“簡訊攔截馬”非常重要的一個傳播渠道，從偽基站釣魚網站攔截這方面著手，雲端資料顯示從14年下半年開始，偽基站簡訊釣魚進入異常活躍期，高峰期平均每天新增的釣魚網站多達近千個。“簡訊攔截馬”的安全威脅、影響範圍都遠超其他型別的手機病毒，當黑產團伙同時掌握了使用者的銀行卡資訊和驗證手機，使用者的網銀資產可以說是完全淪為“砧板上的魚肉”。

我們對其中的活躍釣魚網站進行了分類和安全測試，也對從其他渠道收集到的偽基站釣魚網站原始碼進行了分析，發現了包括sql注入、儲存型xss、後臺越權等多類安全漏洞，由於這些常見偽基站釣魚站點大多基於幾類固定模版開發編寫，所以這些安全漏洞通用性相對較高。這些漏洞相對都比較簡單，今年在烏雲等安全平臺也多有披露，這裡就不再贅述技術細節。

活躍度高的偽基站釣魚網站會自動加入我們的取證系統中，透過對上述漏洞的批次自動利用我們可以對全國範圍內的活躍黑產團伙進行長期監控。綜合受害者分佈、釣魚後臺登入IP等資料分析，我們對全國偽基站釣魚黑產的規模和運作有了更深入的瞭解。

1. 全國受害使用者眾多，從數百釣魚網站後臺記錄中共發現超過40萬條的使用者網銀資料，包括：姓名、身份證號、開戶行、銀行卡號、取款密碼、CVV碼等；透過跟蹤對比，這些活躍釣魚後臺平均每天新增資料超過300條，有些甚至多達上千條。
2. 黑產團伙和受害使用者的分佈都存在地域聚集的特點。黑產團伙集中在廣東、福建、海南、廣西等地區，比例超過80%；受害使用者分佈較多的為廣東、湖南、湖北、河南4大省份，比例超過60%。

從14年下半年開始我們加強了對“偽基站釣魚”傳播渠道的監控力度，共篩選梳理出20餘個高度活躍的黑產團伙，我們將掌握的部分犯罪證據和追蹤定位資訊反饋給全國多地警方，配合打擊了這批黑產犯罪團伙。目前其中的部分涉案團伙已經抓捕歸案，涉案金額最少都在百萬級別，希望更多的受害使用者在結案以後能追回自己被盜的資金。

[二]、“簡訊攔截馬”取證案例

在本文的開始也提到了近兩年“簡訊攔截馬”樣本變種的攔截量增長非常迅猛。“簡訊攔截馬”樣本中相當一部分使用郵箱收信，同時使用手機簡訊進行遠端控制，這些特點都可以作為溯源取證的常見入手點；當然也有部分樣本使用一些web程式進行收信管理，在我們的實際測試過程中同樣發現了多類安全漏洞，可以用來輔助實現自動化的安全取證；另一方面，針對“簡訊攔截馬”的特點和傳播場景，我們也嘗試過“以彼之道還施彼身”的“反向釣魚”，後面會講到如何使用“反向釣魚”手段去追蹤黑產團伙。

我們的安全監控系統會對入庫的“簡訊攔截馬”樣本進行解包分析，根據輔助特徵自動從反編譯程式碼中提取出黑產團伙使用的郵箱帳號密碼和控制手機號碼，對其中攔截量較大的變種型別我們也會相應加強後續的監控跟蹤。

另一方面，基於“簡訊攔截馬”的特殊傳播場景，我們可以偽裝為受害者，使用樣本收信的郵箱帳號密碼或者後臺介面向黑產團伙投遞一封精心構造的“反向釣魚”誘餌，誘導其開啟釣魚連結從而獲取到對方的IP地址。甚至更進一步誘導其安裝我們的釣魚app，然後使用GPS定位、前置攝像頭拍照等功能獲取更多的取證資訊。

“反向釣魚”的取證思路並不複雜，重點在於“誘餌”簡訊要恰到好處的引起目標的興趣，同時也不能太過突兀引起目標警覺，最好是和部分正常簡訊資訊融合到一起，做到“真中有假、假中有真”；另一方面，目標的注意力大多集中在如何從使用者簡訊中尋找到更多有價值的目標資訊，所以往往會忽略“誘餌”的真假，這種心理特點也是“反向釣魚”手段能夠成功的一個重要因素。

0x06 更多思考

---

本文從典型樣本、黑產鏈條、追蹤取證等多個方面對“簡訊攔截馬”背後的黑色產業鏈進行了一些剖析總結，可以看出這一黑產的形成運作是一個複雜交錯的產物。我們對它的瞭解可能還比較片面，其中的種種隱秘內幕也遠超這篇文章所能揭露的。這場“簡訊攔截馬”的安全對抗除了安全廠商的查殺攔截之外，還涉及到行動網路安全、手機系統安全、銀行資金風控、打擊犯罪等多個環節，如何更好地保護使用者網路財產安全，我們需要比現在行動得更多、思考得更遠。

1. 作為安全廠商，除了完善對“簡訊攔截馬”樣本、釣魚網站等威脅的鑑定機制、提升響應速度和查殺攔截率之外，我們應該從被動防禦轉向主動出擊，憑藉自身在資料分析、安全技術上的優勢，將安全對抗拉昇到更高的層次。另一方面對於取證監控發現的其他受害使用者，可以透過合適的方式提前發出安全警告，避免使用者進一步遭受損失；
2. 很多使用者受騙正是因為釣魚簡訊的發件人顯示為10086、95588等正常號碼而放鬆安全警惕導致中招，而提供安全可信的網路環境應該是運營商的基本責任和義務，運營商需要加強對偽基站的監控打擊力度，幫助更多使用者升級到安全級別更高的4G網路，減少遭受偽基站干擾的機率；
3. 各大銀行、各支付平臺需要加強對各自支付轉賬渠道的監管，完善對使用者資金轉移等敏感操作的風控機制，防止被不法分子利用竊取使用者網銀財產；
4. 對於手機廠商，安全保護同樣是手機ROM開發設計需要考慮的一個重點環節，廠商可以從系統底層加強對敏感許可權的訪問控制，尤其是涉及到使用者隱私的聯絡人、簡訊記錄等資訊，做到更好的保護和提示。