反诈骗之旅：诈骗软件又现新变种

近期暗影实验室在日常监测中，发现一批针对中国、越南、马来西亚、美国等国用户的钓鱼软件。该类软件并不是第一次出现，如今出现了新变种。暗影安全实验室在去年11月份发表过一篇 告《》中对该诈骗类软件进行了披露。

该恶意软件冒充越南公安、马来西亚银行、美国***、安全防护等相关应用程序名称诱骗用户安装使用。通过仿冒的钓鱼页面，诱骗用户填写相关的个人***、***账户密码等信息以转走用户***资金。除此之外，该类恶意程序还会窃取用户通讯录、通话记录、短信等个人隐私信息，并具有监听用户电话状态、监听用户短信、拨打电话、删除发送短信等功能。

图1-1恶意样本图标

一、钓鱼攻击 1.1针对国内钓鱼攻击

该类APP在国内主要通过冒充“Visa”与“安全防护”应用程序名进行传

VISA又译为维萨，是美国一个***品牌。Visa作为一个全球性的支付平台，覆盖全世界200多个国家和地区。同样在中国Visa也具有大量用户群体。

图2-1 Visa中国官

该恶意程序主要通过仿冒抽奖、中奖等钓鱼页面，诱骗用户填写姓名、卡 、电话 码等敏感信息。

图2-2“Visa”钓鱼页面

图2-3“安全防护”钓鱼页面

1.2针对马来西亚钓鱼攻击

冒充马来西亚国家银行应用程序进行钓鱼攻击。马来西亚国家银行是由马来西亚政府设立及拥有，其主要目的不在营利，而是管制与监督全国的银行与金融活动。

图2-4马来西亚国家银行官

通过钓鱼攻击页面诱导用户填写账户信息。

图2-5钓鱼页面

1.3针对越南钓鱼攻击

冒充越南公安部应用程序进行钓鱼攻击。

图2-6 越南公安部官

通过钓鱼页面诱导用户填写账户信息。

图2-7 钓鱼页面

二、样本分析

我们监测到的这批恶意程序文件结构及代码基本相同。但每个恶意程序具有不同的服务器地址。

图3-1代码结构

程序启动会加载钓鱼页面并启动恶意服务。

图3-2加载钓鱼页面

2.1窃取隐私数据

应用加载完仿冒页面后便开始收集并上传用户隐私数据。

（1）收集并上传用户收件箱短信信息，包括发送失败和已发送的短信息。

图3-3收集短信收件箱信息

图3-4上传获取的用户短信信息

（2）收集上传用户通话记录信息，并标记通话记录状态。

图3-5收集通话记录信息

图3-6上传的用户通讯录信息

（3）收集并上传用户联系人信息。

图3-7收集用户联系人信息

图3-8上传用户联系人信息

与服务器交互上传获取的用户信息。

图3-9与服务器交互

2.2远程控制

程序的远控部分是通过消息机制实现的。从服务器获取指令并解析，然后通过Message.setData传递从指令中解析出的数据、设置Message.what来指定消息类型。

服务器地址：http://213.***.36.42:4201/app/input.php。

图3-10解析指令并使用消息机制执行

图3-11服务器下发指令

远控指令：

一级指令 二级指令 三级指令 传递的值 功能 testjson3 J_PhoneState 1 J_PhoneNo 拨打指定电话 码 2 J_PhoneNo 挂断电话 actlist J_PhoneNo MsgContentTargetMTELOrderNO 发送指定内容短信 callcontacts Status 新增 SnStatuscontactIDPhoneName 向联系人数据库插入数据 修改 更新联系人数据库数据 删除 删除联系人数据库数据 testjson showyn 3 J_Id 删除id为指定值的短信

应用将自身注册为默认短信程序，监听用户接收的短信息。这样能即时获取到用户短信验证码信息。短信验证码作为第二验证因素被广泛用于身份验证中。

图3-12监听用户短信

删除指定短信。应用场景为诈骗犯在转走用户***资金后为了避免用户发现从而删除短信提示信息。

图3-13删除指定短信

三、扩展分析

图4-1其它样本信息

部分样本信息：

安装名称包名MD5sgb com.loan.test1 f61a8f344742f254515459e91642474b nbm com.loan.test1 4a6096174b06124b51e1c08723827d65 safe com.loan.test1 ef3619529***7c53bd701a9207b40550 安全防护 com.loan.test1 d3e6d96af2a3bbdc053241fd66ed0cf1 vnapp com.loan.test1 baf4a416e531f25b9fb917d3629f157d Visa Master com.loan.test1 5bc922612ef826f95d5cf46697292b82 aeon com.loan.test1 54e5080dffbfd807eeefb4dfb20fabdc bnm com.loan.test1 d653129352a69917808d6b00c3dedaa9 vn84 com.loan.test1 806276355682cf281b5a1598e0d1d88b 四、总结

这批恶意程序在去年10月份的时候就已经出现，经过更新迭代重新被投入 络中进行使用。由于这批恶意程序具有相似的文件结构与代码且签名信息相同由同一组织打包而成，所以我们猜测这批恶意程序可能是某黑客组织实施跨国诈骗的工具。用户应提高自身防诈骗意识，多补充 络安全知识。不轻易相信陌生人，不轻易点击陌生人发送的链接，不轻易下载不安全应用。