伪基站诈骗分析与防范
一、简介:
近日,华盟网发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。
伪基站发送的伪10086短信
图1. 伪10086短信
诱导用户领取现金红包界面
图2.诱导用户领取现金红包
二、钓鱼流程:
图3. 钓鱼流程图
三、伪移动客户端代码分析
1、该病毒启动后即诱导用户激动设备管理器,激活后隐藏图标,导致卸载失败,且用户不易察觉。
图4. 启动界面
2、使用apktool 、dex2jar反编译伪移动客户端均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。
图5. apktool 反编译失败
图6. dex2jar反编译失败
该病毒代码进行了“APKProtect”保护。
图7. APKProtect保护
3、脱壳后代码结构:
图8
4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包含手机型号、安装时间,并隐藏图标,导致用户不易察觉。
图9. 发送通知短信并隐藏图标
5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:
图10. 窃取短信内容
四、目前,这种钓鱼诈骗的方式比较盛行,已经有用户被盗刷网银,中国移动也对这种方式进行了警惕说明。
图11. 中国移动官网提醒用户警惕“积分兑换现金”诈骗短信!
代码分析至此整理出以下几点:
1. 伪基站播发10086短信积分兑换现金信息;
2. 诱导受害者填写手机号码,省份证,银行卡,密码,开户行等信息;
3. 诱导受害者下载木马安装(运行中激活设备管理器,隐藏桌面图标);
4. 拦截手机短息发到木马者邮箱,然后就经常看报到说我的钱没了么了。
伪基站诈骗防范措施
1. 收到类似短信及时向官方客服电话确认;
2. 收到类似短信不打开连接,不下载,不安装;
3. 公共场所不使用来历不明的WIFI热点;
4. 手机安装安全防护软件、定期清理垃圾、查杀木马病毒;
5. 手机系统不轻易ROOT以免被恶意软件侵害;
6. 域名注册商、服务器空间厂商加大类似域名注册使用监管力度;
7. 任何场所下不轻易泄露个人任何信息。
个人信息泄露的危害
· 垃圾短信源源不断,骚扰电话接二连三,垃圾邮件铺天盖地,冒名办卡透支欠款;
· 不法团伙前来诈骗,冒充公安要求转帐,坑蒙拐骗乘虚而入,帐户钱款不翼而飞;
· 个人名誉无端受毁。
官方 