短信拦截马”黑色产业链与溯源取证研究
根据猎豹安全实验室的云端监控数据显示,近1个月截获的“短信拦截”类样本变种数量超过10万,影响用户数达数百万之多。“短信拦截”木马作为安卓手机病毒中的一类常见样本,近两年来显现出爆发增长的趋势,其背后的黑色产业链也日益发展壮大,“短信拦截马”的日趋泛滥已经成为移动支付、网银财产等各环节的焦点安全问题。 “短信拦截马”导致网银资金被盗的新闻屡见报端,作为一个安全厂商我们对受害用户的遭遇也深感痛心,这也推动我们在查杀对抗“短信拦截马”的工作中投入更多的努力。在安全对抗过程中我们对“短信拦截马”黑产的运作有了一些了解,在针对黑产团伙进行追踪取证方面也做出了一些尝试,下面把在我们这个过程中产生的一些经验和思考做一个分享,希望可以让用户能够更多地了解和规避此类安全风险,也希望安全圈内有更多的目光可以关注到这个问题。 典型样本分析 典型的“短信拦截马”从技术原理和实现上看并不复杂,大多通过注册短信广播(BroadcastReceiver)或者观察模式(ContenetObserver)监控手机短信的收发过程,当然也出现一些功能更全面强大的远控类手机木马,短信拦截只是其中的一项功能。网上类似的短信拦截源码也非常多,了解过安卓开发的都可以很快编写出一个“短信拦截马”,这也是“短信拦截马”变种速度快、传播泛滥的一个重要原因。 在我们近期的云端监控中有一类“短信拦截马”变种非常活跃