新闻快讯
< >

大东话安全第四期之轩“辕”——Emial

某诈骗短信:“你好,我是秦始皇,其实我并没有死,我在西安有100吨黄金。我现在需要2000元人民币解冻我在西安的黄金,微信、支付宝接受转账,账号就是我的手机号!转好我直接带兵马俑诈尸,让你统领三军!”

大东:“还有这种操作?!!”

大东话安全第四期之轩“辕”——Emial-E安全

小白:这是棒棒糖小怪兽吧,一手一个还不够,都跳出手机屏幕来抢我的糖来了~

大东:小白你真厉害,又给绕回到吃的上来了。

小白:我就当是大东东夸我咯~

大东:今天这张牌讲的是Emial,该家族俗称“拦截马”,是移动终端2013年至今最为活跃的利用移动支付窃取用户财产的间谍木马。最主要的功能是窃取用户手机短信,并拦截与金融相关的短信。

小白:那它的目标应该不是我,毕竟我手机里的短信只有来自某0086的问候~~

小白: 最近收到的诈骗短信有点多啊,神奇是,骗子不仅知道我的号码还知道我的姓名!

大东:可能是你的手机中招了,有杀毒软件吗?

小白:没有啊,我觉得杀毒软件对手机的限制太大了。上次我装了个杀毒软件,结果手机里好多APP都莫名其妙地被删了,一气之下我就把杀毒软件删了。

大东:你这真是狗咬吕洞宾啊,赶紧装一个扫扫。

小白:为啥啊?

大东:说明被删应用不清白!赶紧的装上杀软,别等到你的银行卡号密码都泄露了再后悔。

小白:我去!别吓我,我可不是吓大的!

大东:看吧,果然中招了。

小白:这是个啥东西?

大东:该木马俗称“拦截马”,是2013年至今移动终端上最为活跃的利用移动支付窃取用户财产的间谍木马。它最主要的特点是窃取用户手机短信,并且在手机中拦截与金融相关的短信。

大东话安全第四期之轩“辕”——Emial-E安全

短信“拦截马”

小白:马如其名啊!

大东:根据猎豹安全实验室的云端监控显示,短信拦截木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。

小白:那这种木马是怎么运作的呢?

大东:典型的“短信拦截马”从技术原理和实现上看并不复杂,大多通过注册短信广播(BroadcastReceiver)或者观察模式(ContenetObserver)监控手机短信的收发过程。当然也有功能更全面更强大的远程控制类手机木马,短信拦截只中的一项功能。

小白:啥广播?啥模式?

大东:短信广播就是当系统收到短信时,会发出一个广播Intent。

小白:Intent?这又是啥?

大东:Intent是Android提供的用于协助应用间的交互与通讯,负责对应用中一次操作的动作、动作涉及数据、附加数据进行描述的机制。

小白:哦哦,您接着说。

大东:系统广播的Intent中存放了接收到的短信内容,木马开发者利用木马便可从Intent中获取短信的内容。而观察者模式呢,举个例子,用户界面可以作为一个观察者,业务数据是被观察者,用户界面观察业务数据的变化,发现数据变化后,就显示在界面上。

小白:我…我假装听得懂的样子……

大东:简单说,就是手机收到短信,系统会告诉你来短信了,这时候木马就可以利用一些不正当的手段获取了短信信息,就是这样。

大东话安全第四期之轩“辕”——Emial-E安全

短信拦截

小白:噢,我懂了~

大东:类似的短信拦截源码网上非常多,任何了解过安卓开发的人都可以很快编写出一个“短信拦截马”。这也是“短信拦截马”变种速度快、传播泛滥的一个重要原因。

小白:咦,我是不是也可以快速入门?

大东:骚年,看来你还是不懂得生命的可贵。

小白:开玩笑,开玩笑~

大东:一个比较典型的拦截马通常有这么一些技术特点,首先呢,拦截马会诱导用户激活设备管理器实现反卸载。

小白:然后?

大东:对于一个正常的Android应用来说,会有图标,但是拦截马就会将手机桌面的图标隐藏,使得木马的本体更加隐蔽。

小白:怪不得刚才杀了一遍毒但是手机桌面啥都没少。

大东:而对于那些发现了拦截马踪迹的,尝试卸载拦截马的朋友呢,拦截马会监控用户的这种行为。总而言之,这种木马就像一块恶心粘人的口香糖,沾上了,就没那么容易摆脱。

小白:啊,口香糖~让我吃一块先~~

大东:然后木马便会注册自启动服务,随着Android手机开机启动,并且开启广播监控与观察者模式来监控用户的短信,并且将用户的通讯录以及所有的短信上传到木马制作者指定的邮箱中。

大东话安全第四期之轩“辕”——Emial-E安全

“短信拦截马”的典型功能结构

小白:这个木马真是可恶!

大东:是的,一旦该木马被植入手机,就会开始收集用户的短信数据,特别是金融数据例如银行卡信息以及银行的短信验证码等,不法分子会利用该木马收集手机用户的私密数据,进而盗取用户的财产使得用户蒙受经济损失。

小白:天呐!

大东:还不止这么简单,木马还会通过短信盗取用户的身份证信息,手机号码以及联系人信息等。若用户的个人信息再被倒手到不法分子手上,只怕就不仅仅是受经济损失那么简单了。

小白:想想真是可怕,这么说我的那些短信还有联系人全都已经泄露了?

大东:没办法啦,只能长点心,收到诈骗短信的时候不要再被套路啦。

小白:啊,那像这类木马有没有什么预防的办法啊?

大东:这类木马一般会涉及到一整条黑色产业链,但是也不是没有预防的办法。

大东话安全第四期之轩“辕”——Emial-E安全

“拦截马”传播渠道

小白:您说说~

大东:首先,对于安全厂商,除了完善对“短信拦截马”样本、钓鱼网站等威胁的鉴定机制、提升响应速度和查杀拦截率之外,应该从被动防御转向主动出击,凭借自身在数据分析、安全技术上的优势,将安全对抗拉升到更高的层次。另一方面对于取证监控发现的其他受害用户,可以通过合适的方式提前发出安全警告,避免用户进一步遭受损失。

小白:单单这样就够了吗?

大东:其次,各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户的网银财产。

小白:厉害了我的东哥!

小白:不是我不想安装杀毒软件,只是总感觉一些杀毒软件会把我的一些没毒的应用都删了,让我产生杀毒软件才是病毒的错觉。

大东:你下的那些软件都是从非官方的渠道下载的吧,发布者往往会借此捆绑一些乱七八糟的东西。

小白:话说,东哥你推荐的那个杀毒软件挺不错的,一扫就给它扫出来了,叫AVL?

大东:对,这款杀毒软件是由安天科技股份有限公司研发的。安天是国家级网络安全应急服务支撑单位,拥有信息安全服务一级资质,有一套完备的病毒捕获、分析流水线体系和整建制的CERT团队。

小白:怪不得这么厉害!

大东话安全第四期之轩“辕”——Emial-E安全

AVL SDK反病毒引擎使用界面

大东:嗯,这杀毒软件内置的AVL SDK反病毒引擎可是全球顶级的反病毒引擎,荣获了AV-Test 2013年度最佳防护大奖以及AV-C 2015年度全球测评第一。该反病毒引擎不仅有针对已知病毒的超强检测力,同时拥有AVL对于未知样本检测的超高启发式能力,它提供的url安全检测功能可以让钓鱼或恶意应用下载地址无处遁形,相当于从源头遏制了木马的入侵。

小白:好,以后就是它了!

五、漫威

大东:今天的Emial让我想起了漫威世界里一个励志故事~

小白:快让我也励志励志~

大东:母星被摧毁,族人被杀害,马面雷神作为幸存者被迫逃离,后来经过各种测试和考验后被选中成为族人的守护者,身体因此被改造成了生化机器形态,拥有了类似雷神的能力,并且还曾打败过雷神。

大东话安全第四期之轩“辕”——Emial-E安全

雷神

小白:哇,成功逆袭!

大东:人们常说人和人是不同的,其实马和马也是不同的,马面雷神是正义的“马”,现实中的Email是邪恶的“马”,因此也被成为“拦截马”,是移动终端2013年至今最为活跃的利用移动支付窃取用户财产的间谍木马,专窃取用户手机短信,拦截与金融相关的短信。

小白:此马非彼马,此马系坏马~