• 黑产上演《三体》剧情:蠕虫病毒入侵手机群发“钓鱼”短信,scc315致富
  • 发布时间:2016-10-19 19:36 | 作者:第一网络 | 来源:第一网络编辑
  • “我是这个世界的一个和平主义者,我首先收到信息是你们文明的幸运,警告你们:不要回答!不要回答!不要回答!!!” ——《三体》

    \

    《三体》是国内科幻小说界里程碑式的作品,多位互联网大佬都是其粉丝,去年其更是荣获科幻小说界的最高奖 “雨果奖”。小说中人类为探索外星文明向宇宙发送电波并收到了三体文明的回复,一旦人类回复该电波,三体将立即定位地球位置并开展后续的侵略行动。不止在小说中,现实生活中也存在很多类似的“钓鱼”短信在人们之间传播,一旦不慎点开了短信中的“钓鱼”链接,链接中附带的病毒将立即入侵手机,给人们的隐私、财产安全带来极大的威胁。在此,安天AVL移动安全和猎豹移动安全实验室提醒大家:在收到附带“钓鱼”链接的短信时,不要点开!不要点开!不要点开!!!

    近期,安天AVL移动安全和猎豹移动安全实验室就监控到一个群发“钓鱼”短信散布蠕虫病毒的恶意事件,事件中的Curiosity病毒一旦进入手机将立即获取感染手机的联系人信息并群发“钓鱼”短信,短信的内容为:“你好,我看到这有你的私密照片,点击链接查看:hxxp://b**.ly/2abgToi”。收件人一旦没忍住好奇心点击了该链接,链接指向的蠕虫病毒将会被下载到用户手机。该病毒利用大家对朋友的信任和好奇心,通过短信进行蠕虫病毒传播,并通过远程控制功能形成僵尸网络。值得注意的是,该病毒的远程控制功能是借助Google的C2DM(Android Cloud to Device Messaging)服务实现。

    接下来,我们将对该病毒进行详细的行为解析。

    Curiosity病毒运行流程图

    \

    详细分析

    群发“钓鱼”短信并拦截短信

    Curiosity病毒在运行时会获取用户手机中所有联系人的号码,然后向这些号码发送包含蠕虫病毒下载链接的“钓鱼”短信,以诱导更多的用户去下载。短信的内容有多种语言版本,如下图所示,包含英语、阿拉伯语、西班牙语、葡萄牙语、法语等。我们选取其中一个短信内容翻译成中文为:“你好,我看到这有你的私密照片,点击链接查看hxxp://b**.ly/2abgToi ”。

    \

    收件人一旦点开短信中的链接,链接指向的蠕虫病毒将下载到用户的手机中。蠕虫病毒伪装程序名为picture,以诱导用户下载安装。

    \

    同时该病毒会将自身设置为默认的短信应用,完全拦截用户接收到的短信,导致用户无法接收到短信,并将黑名单中号码的短信进行删除。

    设置自身为默认短信应用:

    \

    拦截用户接收到的短信:

    \

    删除黑名单中号码的短信:

    \

    利用Google推送服务远程控制

    Curiosity病毒在运行时通过Google的C2DM(Android Cloud to Device Messaging)推送服务向感染手机推送远程控制指令,控制感染手机向指定号码拨打电话、向指令号码发送攻击者自定义的短信、向用户联系人群发自定义短信等恶意行为。C2DM框架是Google官方提供的数据推送工具,允许第三方开发者通过C2DM服务器向用户手机推送少量的数据。

    \

    在这里要对Google的C2DM推送流程进行简单的介绍:

    \

    图1 C2DM操作过程图

    使用C2DM来进行Push操作,需要一部包含Google服务的安卓手机、C2DM服务器和第三方服务器。如上图所示Curiosity病毒利用C2DM服务进行数据推送的流程:

    Step1.使用感染用户的Google账号在C2DM服务器注册一个registration ID。

    Step2.将Google账号和C2DM服务器返回的registration ID发送到攻击者的服务器。

    Step3.攻击者的服务器将registration ID和要推送的数据以post的方式发送给C2DM服务器上。

    Step4.C2DM服务器将推送的数据以push的形式推送到该手机上。

    窃取用户隐私信息

    猜您喜欢:
  • 相关内容
  • 2010-2016 第一网络 版权所有 | 联系邮箱:1234165454@qq.com 赣ICP06546454号
  • 聚焦应用创新、前沿技术、电子商务、网络热点;介绍精彩E生活;第一网络是互联网行业资讯平台、用户最信任的个人网上信息资讯平台,包含各互联网行业的信息资讯。