病毒四度升级：安天AVL Team揭露一例跨期两年的电信诈骗进化史

　　 自2014年9月起，安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒，病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查，我们判断这可能是一起有组织的电信诈骗犯罪活动。

　　 2014年9月至今，某诈骗组织持续以涉嫌犯罪为由恐吓受害者，并进行电信诈骗活动。整个诈骗流程大致如下：攻击者首先向受害者的手机发送含恶意应用下载链接的短信；攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接，下载安装恶意程序，最终获取受害者手机的root权限；恶意程序被成功安装到受害者手机后，诈骗者会主动打电话给受害者，并声称将电话转接至检察院确认，但现在大部分人都对这类电信诈骗的防范意识较高，会拒绝对方的电话转接；此时，诈骗分子会主动要求受害者挂断电话，并亲自拨打110确认事件的真伪。当受害者将电话拨出后，安装在受害人手机中的恶意程序将原本拨打给110的电话，劫持之后转为拨打诈骗者的号码，从而让受害者信以为真，完全落入圈套。

　　 通过AVL移动互联网恶意程序检测平台捕获数据可以看到，该类型病毒样本首次出现在2014年9月。在此后两年时间里，又先后捕获到4类包结构各不相同的病毒新变种样本180余个。这类病毒的感染者主要分布于我国浙江省和广东省，福建、湖北、江西等地也有感染案例。

　　 在该病毒不断进化的进程中，攻击者先后注册了多个C&C服务器，相关IP地址16个，服务器分布在香港、新加坡、韩国、日本、美国等国家和地区。由此我们可以看到攻击者通过不断变换地点等手段来逃避侦查。

一、恶意行为详细分析

恶意行为实现流程示意图

伪造电子凭证

　　 当恶意应用被成功安装并运行后，受害者手机会显示一个伪造的最高人民检察院发布的电子凭证，恐吓受害者因涉嫌犯罪，而需要接受调查。此时，防范意识薄弱的受害者可能会直接相信对方。即便其他受害者具备足够的防范意识，诈骗者依然有办法逼其就范。那就是劫持受害者手机的报警电话，然后明确告诉受害者可以自行拨打110确认。

　　 以下是伪造的最高人民检察院发布的电子凭证样例。从以下三张电子凭证样例，我们可以看到检察长的签名都是根据现实情况不断更新，说明攻击者最大程度消除受害者对此电子凭证的怀疑，提高电信诈骗的成功率。

劫持报警电话

　　 从以上代码截图可以看到，即使受害者是自行拨打的报警电话，电话那头依然是诈骗者，从而使得受害者信以为真，最终落入攻击者圈套，后果不堪设想。 　　 上图中诈骗分子劫持的目标号码如下： 

　　 其中“021110”并非源码中显示的湖北省公安厅，而是上海市公安局。

窃取受害者隐私数据

　　 作为整个电信诈骗链条上的重要一环，该病毒本质是一款间谍件。其功能不仅是显示检察院电子凭证以恐吓欺骗受害者，而且在后台窃取用户隐私数据并上传至指定恶意服务器，给受害者的个人利益带来更大损害。

　　 该病毒会开机自动运行，运行后自动生成用于显示电子凭证的activity组件，同时在后台启动用于窃取用户隐私数据的service组件。

　　 该组件service组件首先创建一个名为phoneConfig.db的数据库文件并将其初始化。该数据库主要记录呼出会话和当前配置信息两项数据，其在库中的索引分别为“phoneCall”和“config”。当数据库数据需要更新时，程序会删除旧表并重新创建和初始化数据库。该数据库可以在/data/data对应应用包目录下找到。具体的数据库表内容如下图所示。

　　 当然，这远不是该间谍应用要盗取的全部隐私数据。接下来，它会使出浑身解数获取受害者设备上的各类数据，并将它们写入JSON保存起来。 　　

通过分析反编译代码，我们总结该病毒意图盗取的数据种类如表1所示。

上传受害者隐私数据

　　 获取到受害者的隐私数据后，下一步攻击者会通过联网将其上传至服务器。这一部分主要是在应用/lib/armeabi文件目录下的libjpomelo.so动态库文件中实现的。 　　

该间谍件通过与远程服务器建立HTTP连接完成隐私数据上传的行为。具体过程如下图所示。

　　

至此，隐私数据上传完成，受害者手机隐私数据完全掌握在攻击者手中。

二、病毒变种进化历史

　　 病毒变种进化历史时间轴：

第一阶段：萌芽期（2014.9 ~ 2014.11）

　　 在电信诈骗的萌芽期同时活跃着两种类型的病毒变种，它们都具有劫持电话号码以及窃取用户个人数据的行为。其区别在于攻击受害用户设备后获取隐私数据的手段不同。 　　 第一种类型： 　　 以样本7692A28896181845219DB5089CFBEC4D为例，该变种主要窃取用户的短信数据。它会设置接收器专门用于监听收到新消息的事件，一旦有来信则立即获取其发信方电话号码以及短信内容，并转发至指定号码。 　　 第二种类型： 　　 以样本4AD7843644D8731F51A8AC2F24A45CB4为例，该变种的窃取对象不再局限于短信，而是拓展至被攻击设备的固件信息、通讯运营商信息等。另外该变种还会检视设备的响铃模式并私自将其调为静音。 　　 就窃取受害用户隐私数据的手段以及窃取的数据种类而言，第二类变种是后续阶段其他病毒变种的元祖。 　　 综合这一阶段的病毒样本，我们发现，不论采用哪种方式获取来自受攻击设备的信息，其对抗性都较弱，对一些容易暴露自己的数据基本没有保护。比如我们从中挖掘到的一些短信转发地址以及远程服务器IP地址和端口号等信息，都是直接以明文形式硬编码在程序中的，很容易被反编译逆向分析，也难逃手机安全软件的查杀。

第二阶段：平稳期（2015.3 ~ 2015.8）

　　 该阶段是诈骗的平稳期，或者也可以称为低潮期。这一阶段的攻击表现得不是很活跃。可以理解为诈骗分子的攻击欲望有所衰减，或是蓄势发起新一轮攻击。总体而言，病毒量明显减少。 　　 至于阶段样本中存在的一些新变种，多是在萌芽期第二种类型病毒变种的基础上进行结构形态上的改变，同时采用了代码混淆技术，做了初步的对抗。但其在具体功能上几乎没有发生任何改变。

第三阶段：一次活跃期（2015.9 ~ 2016.2）

　　 这一阶段与上一阶段有着明显的分界线。2015年9月1日，手机卡实名制的法规正式开始施行。手机号码与个人身份证绑定，这就意味着攻击者难以再通过短信转发的手段获取受害者的隐私数据，因为攻击者手机号的暴露极大地增加了攻击者被追踪到的风险。 　　 因此，2015年10月以后捕获到的病毒新变种中，短信转发用到的手机号码以及一些指定的短信内容不再直接出现于程序代码中，而是通过联网从远程服务器端下载并解析获取。 　　 从病毒功能上看，该阶段与上一阶段没有太大变化，仍是以劫持电话号码及窃取用户隐私数据为主。但是攻击范围在本阶段达到了前所未有的高峰。一方面，病毒的感染量激增，病毒样本层出不穷；另一方面，之前恶意服务器几乎都设置在香港，这一阶段陆续出现了韩国、新加坡、日本等新的地点。我们可以推测这是攻击者在为更大规模的电信诈骗做准备，同时更好地隐匿自身踪迹，逃避侦查。这次攻击高峰直至次年2月才逐渐平息。

第四阶段：二次活跃期（2016.11至今）

第一次活跃期过后，诈骗犯罪活动又历经了半年多的平稳期。在这期间，病毒样本数量虽有明显减少，但仍可持续捕获。病毒样本功能未发生较大变化。 　　

直到今年11月上旬，该病毒攻击再次进入活跃期。从新一轮攻击中捕获到的样本来看，该病毒一部分沿用了上一阶段的变种，有些加入了新的对抗机制。另一部分则采用了新型变种，将窃取数据上传服务器的功能实现从Java层转移至SO动态链接库，攻击所需的资料更多是通过从远程服务器下载获取。攻击的危险性与不确定性都有所增强，同时也进一步增加了安全检测和逆向分析的难度。 　　

从本阶段的攻击规模来看，仅11月8日至13日不到一周的时间里，我们就捕获到了35个病毒样本。 　　 截至11月13日，该病毒样本日均捕获量近6个，诈骗活动仍在持续。

三、远程服务器IP溯源

　　 对远程服务器进行溯源分析，我们可以发现服务器大多分布在香港，并在后期扩散至韩国、日本、美国等国家和地区。通过将获取到的IP地址在WHOIS和VT等第三方数据源进行信息反查，得到如下表所示的结果。特别地，这些归属地只是诈骗分子利用的服务器所在地。

（注：表中数据来自相关IP在whois.net及virustotal.com的查询结果）

四、总结

　　 通过对该病毒的详细分析，我们发现该病毒迄今已使用了6种不同形态的木马。除去最开始可能用作测试的一种，其它的按照结构、功能等指标大致可以分为四代。早期的木马基本不具备对抗行为，包括短信转发地址的电话号码和隐私数据上传的服务器IP等皆明文硬编码在程序中，较容易被分析追踪和查杀。到2015年9月1日，手机卡实名制正式开始实施，这意味着攻击者信息更容易被侦查。就在同年10月，病毒新变种开始采取混淆等对抗手段隐藏攻击者信息，短信发送地址及短信内容等数据也转而通过从服务器下载获取。到2016年11月，病毒将窃取数据上传服务器的功能实现部分从Java层转移至SO动态链接库，攻击所需的资料更多是从远程服务器下载获取，攻击的危险性与不确定性都有所增强，在一定程度上增加了安全监测和逆向分析的难度。综合来看，该电信诈骗持续的周期较长（持续2年以上），攻击手段不断变换。我们可以推断犯罪分子可能为混迹在港台地区的诈骗组织，具有高度的组织化，其诈骗行为极端恶劣，需要引起足够重视。 　　 另外，纵观至今的诈骗活动周期，高峰往往起始于每年年末（9~11月）并结束于次年年初（2月左右），说明年终岁末通常是电信诈骗的高发期。时值年关，广大手机用户务必当心，谨防受骗。

五、安全建议

　　 针对这类恶意应用， AVL移动反病毒引擎合作方产品已经实现全面查杀。安天移动安全团队提醒您：

• 1.谨慎点击短信中附带的链接；
• 2.增强主动防范意识，不要轻信此类电信诈骗信息。如需查证，请尽量采用多种渠道进行确认，比如使用其他手机拨打电话确认等；
• 3.不要在任何场合随意泄露自身隐私信息，注重自身隐私保护；
• 4.建议在手机中至少安装一款杀毒软件，同时保持定期扫描的习惯。

六、附录

相关样本hash摘录：

• EFAF96F83DCD3AC63F721CFDDB0162D6
• 4AD7843644D8731F51A8AC2F24A45CB4
• 7692A28896181845219DB5089CFBEC4D
• 2B5A9689A5BA2783B93F46C6C03E37DC
• 40E108817AB0975FDD6D51816F7C6023
• 89136B665D0015421E589B648153A773
• 0E5A0EE5148FA99FA85D531C9774F821
• 1B48B05E7513CF22558140DEF141E77B
• 8658FBDB50A60BB4C4C3DB06A61E5AAF
• 9D72F6B4E72B0E38EBB88D7416B90703
• FDF25B19CC2DC08D0423AE00CF3A8863
• D3474DA378EBDF3802BD178706B43E3A
• 304B4B3A3E942FDE957FB605B7422404
• 0190E86CB1361E63429C2F5F247A37F5
• F6E3AEB57638A1AF53C7EBB61DE99EBF
• 3259557837EE78C7FBEE6B8A52B2079B
• 787AFFD5B53376A80819CF21A7CF9157
• AC76B96C47C96C067C29A81F8B97D469
• 2FD63FBAD49778B36C394AF92D0BB84A
• 08AB2FD06F12C5D58B159CDD8182FA20

　　 安天移动安全公司成立于2010年，是安天实验室旗下专注于移动互联网安全技术和安全产品研发的公司。安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。 　　 　　 AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项，这是亚洲安全厂商首次获此殊荣。AVL Insight是国内首个移动威胁情报大数据平台，主要用于呈现移动威胁的高价值情报信息，通过对移动威胁的全面感知能力和快速分析响应能力，提供对抗移动威胁的预警和处置策略。 　　 　　 　　 　　

      目前安天移动安全公司已与OPPO、VIVO、小米MIUI、阿里云YunOS、金立、步步高、努比亚、乐视、猎豹、LBE安全大师、安卓清理大师、AMC等国内外50多家知名厂商建立合作，为全球6亿终端用户保驾护航。 转载请注明来源：http://blog.avlsec.com/?p=4248

更多技术文章，请关注AVL Team官方微信号