仿冒公安政务

手摘星辰 首页 知识的内涵 登录 引流短视频 精辟源码 视频资源 分享软件 博客 关于博客 请输入你想搜索的内容: 手摘星辰 首页 知识的内涵 登录 引流短视频 精辟源码 视频资源
暗影移动安全实验室在日常监测中,发现了一批冒充“公安部”、“网上安全认证”、“公安局智能警务系统”等应用程序名称的诈骗类APP,研究人员分析发现,这批诈骗APP的目的是窃取用户个人信息(身份证末尾4位、认证卡号、安全码、卡背后3位、交易密码、手机号码、通讯录、短信等),然后上传至VPS服务器,涉及类型多达33种,VPS服务器主要分布在英国、加拿大、新加坡、荷兰,该类恶意程序危害极高,影响极其恶劣。

图 1 诈骗APP运行界面

诈骗团伙:你是XX吗?我是公安局的王警官,我们最近在调查一起跨国洗钱案件,发现你的账户疑似涉入其中

受 害 者:你们是不是搞错了…

诈骗团伙:不会有错的,你已经上通缉令了,你可以下载“公安局智能警务系统”查看,稍后通过短信发送与你

受 害 者:多谢警官,我一定好好配合

诈骗团伙:你现在“公安局智能警务系统”填写你的银行账户信息,需要对你的账户做冻结处理

受 害 者:好的,马上马上

几天过去了,王警官的电话再也没有响起过,小林也不断的收到银行的通知短信“您账户8888于10月23日12:00交易*200000.00”

基本信息
样本MD5:2AEB5A0CFFCEDFE1395774C6DA65C225

安装名称:安全防护

样本包名:www.online157.com

运行原理
程序启动后主要是引导用户输入查询文号,或者诱骗用户网银加密,实则是引导用户输入相关信息(号、*密码、预留手机号等),并且在用户未授权情况下获取用户手机联系人通讯录、通话记录、短信息以及必要的固件信息等,并将以上信息全部上传到指定服务器,该过程包含了用户直接输入的大量敏感信息以及私自窃取的用户信息,黑客可以通过以上信息登录用户网银并且盗刷或者转走用户的账户余额。

图2 运行流程图

代码分析
(1)获取用户通讯录、短信、通话记录直接上传

程序启动后判断是真机则直接获取用户固件信息、通讯录、通话记录、短信息并上传到指定服务器。

图3 启动后上传通话记录、通讯录、短信息

获取用户通话记录:

图4 获取通话记录

图5 上传通话记录数据包

获取用户通讯录联系人:

图6 获取通讯录联系人

图7 上传通讯录联系人数据包

获取用户短信:

图8 获取用户短信

图9 上传用户短信数据包

获取用户信息的服务器地址:

获取联系人:http://136...157/msky/v1.0/contact/

获取通话记录:http://136...157/msky/v1.0/callrecord/

获取短信:http://136...157/msky/v1.0/sms/

图10 窃取信息服务器地址

(2)诱导用户输入文号查询、*号、手机号、密码等信息

图11 诱导用户输入信息

诱骗用户输入的*信息:

图12 诱骗用户输入的敏感信息

*可选其他信息:

图13 *其他信息

用户输入的文号签证:

图14 文号信息输入

上传文号信息数据包

图15 上传文号信息数据包

(3)拦截并上传用户短信:

图16 拦截并上传用户短信

同源分析
表1 同源样本信息

序号 MD5 安装名 包名
1 0E7F4C3E4F1D3F82F24005E504A6909A BỘ CÔNG AN www.com.rel113
2 938A283270AC170D0B69CAFF2EC73DB6 BỘ CÔNG AN www.tabcol166.com
3 06FC6117E91A8EBB1967E9E315F5A575 安全防护 www.com.cctv50
4 0DBA70992406A3B866FA7866D010936B 安全防护 zxc.xyz.abc.msky
5 0007**F6161AE024CCEAD94C07DF7ADB 公安防护 sdr.edc.abc.msky
6 1F519EE45BFC0273DA27D77**255869A 公安防护 www.com.answer114
表2 服务器地址信息

服务器地址 归属地 反查
144...38 加拿大 1*.ip-54-39-23.net
45...226 英国 5*.deployments.pbxact.com
149...161 新加坡 c*.mp3terbaru.site
23...103 荷兰 d*.aircooll.co

评论 抢沙发