短信攔截馬是什么?顧名思義就是一種可以攔截到他人短信的木馬。它既可以控制攔截用戶手機(jī)中收到的短信，讓用戶無法實(shí)時(shí)收到短信，還會將用戶手機(jī)中的短信內(nèi)容私自發(fā)送到攻擊者的手機(jī)和郵箱中。

瑞星安全研究人員通過對“短信攔截馬”病毒研究分析發(fā)現(xiàn)，短信攔截馬最容易偽裝成移動掌上營業(yè)廳、淘寶、支付寶、相冊、視頻、學(xué)習(xí)資料等手機(jī)APP客戶端，讓大家誤以為是官方APP，從而放松警惕，安裝運(yùn)行。

圖：“短信攔截馬”病毒圖標(biāo)偽裝

“短信攔截馬”為了防止安全人員逆向分析研究，將代碼進(jìn)行混淆，但是包內(nèi)文件結(jié)構(gòu)一致，內(nèi)容也很類似。

圖：“短信攔截馬”病毒樣本包結(jié)構(gòu)

木馬運(yùn)行后為了獲取設(shè)備管理器權(quán)限，會在啟動界面上提示“提高權(quán)限獲取保護(hù)”等詞語，誘導(dǎo)用戶激活設(shè)備管理器權(quán)限，而一旦用戶激活了此權(quán)限，木馬病毒便會隱藏自身圖標(biāo)，很難被卸載。可如果用戶選擇取消激活設(shè)備管理器，木馬病毒則會彈出警告: “謹(jǐn)慎操作!取消激活可能會影響手機(jī)正常使用”等字語威脅用戶。

圖：提示用戶激活設(shè)備管理器權(quán)限

當(dāng)“短信攔截馬”病毒程序安裝完畢后，木馬便遍歷用戶手機(jī)中的個(gè)人隱私信息，如通訊錄、短信等，然后將獲取的信息發(fā)送到攻擊者的郵箱中。當(dāng)然，黑產(chǎn)更關(guān)注的是銀行等支付交易的驗(yàn)證碼短信，當(dāng)黑產(chǎn)團(tuán)伙同時(shí)掌握了用戶的銀行卡信息和驗(yàn)證手機(jī)后，就可以通過攔截短信驗(yàn)證碼進(jìn)行資金交易轉(zhuǎn)賬等一系列操作。

其實(shí)，這類“短信攔截馬”的技術(shù)原理及實(shí)現(xiàn)并不復(fù)雜，而且利用的技術(shù)手段也大致相同，幾乎都是通過注冊短信廣播或者觀察模式監(jiān)控手機(jī)短信的收發(fā)過程，從而實(shí)現(xiàn)短信攔截和竊取用戶個(gè)人隱私的惡意功能。

目前，Android應(yīng)用的開發(fā)相對較為簡單，結(jié)合目前較為流行的釣魚網(wǎng)站，“短信攔截馬”作為一個(gè)功能簡單、開發(fā)成本低、獲利頗高的非法牟利手段，很快就能在短時(shí)間內(nèi)形成一套完整的黑色產(chǎn)業(yè)鏈。

瑞星安全研究人員介紹，“短信攔截馬”家族此時(shí)還正繼續(xù)在社會上傳播蔓延，變種的速度也很快，欺詐性也很強(qiáng)，傳播渠道也很廣，很容易造成大范圍的經(jīng)濟(jì)損失以及個(gè)人隱私的泄露。希望大家能自我建立良好的上網(wǎng)習(xí)慣，以及對釣魚網(wǎng)站和欺詐信息的高度警惕，最大程度上避免自己的隱私和財(cái)產(chǎn)受到此類病毒詐騙的威脅。同時(shí)，大家還可以下載并使用瑞星手機(jī)安全助手對該類木馬進(jìn)行檢測和查殺。

病毒詳細(xì)分析

木馬安裝成功后，會給攻擊者的手機(jī)發(fā)送一條短信，提示該木馬安裝完畢。

圖：發(fā)送識別碼

木馬將盜取用戶的短信、通訊錄等通過SMTP協(xié)議發(fā)送到指定的郵箱。由于使用SMTP協(xié)議發(fā)送郵件，需要發(fā)件人的郵箱賬號密碼。所以樣本中內(nèi)置了牧馬人的發(fā)件郵箱賬號密碼。

圖：使用163發(fā)信

早期樣本中，發(fā)件郵箱賬號和密碼都是明文形式存在文件中，隨著樣本的升級，病毒作者以加密形式保存了此信息，但是通過調(diào)試也很容易解密出發(fā)件郵箱的賬號密碼。使用郵件收信在很早之前的木馬中流行過，但因?yàn)橐獌?nèi)置發(fā)件郵箱的賬號密碼，這種方法很早就被淘汰，此木馬中仍然使用郵箱發(fā)件，足可看出該木馬的水平非常底下。

圖：加密過的郵箱賬號密碼

該木馬還會替換收件信息內(nèi)容中的敏感字，逃避殺毒軟件和一些流量郵件監(jiān)控軟件的檢測。

圖：敏感字替換

樣本安裝運(yùn)行后還會向用戶的所有聯(lián)系人發(fā)送短信進(jìn)行惡意傳播，內(nèi)容為： 我給你錄了視頻你看下 123.60.159.122/Zet 。當(dāng)聯(lián)系人收到該短信訪問此鏈接后又會下載該木馬病毒。

圖：木馬通過短信傳播

樣本信息