Trick蠕虫病毒来袭!幕后主使竟是一名高中生“黑客”!
黑客一直是美国电影中的重要元素,很多经典大片中都有黑客的身影,如战争游戏、黑客帝国等。电影中黑客总是神通广大、行侠仗义,《战争游戏》中的年轻黑客大卫•莱特曼利用黑客技术避免引爆核武器,《黑客帝国》中尼奥通过黑客技术摆脱虚拟世界控制。
电影中的黑客们利用高超的计算机技术拯救世界,正能量爆棚,激发了无数观众对计算机的向往;但是现实生活中却有“黑客”利用计算机技术开发蠕虫病毒,攻击大众的手机,而这名黑客的真实身份,竟然是一个高中生…
近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动,以免费获取话费的短信诱惑用户下载安装。
该病毒运行后会执行以下恶意行为:
- 窃取用户短信并上传到指定邮箱
- 根据短信指令锁定手机进行勒索
- 根据远程短信指令遍历联系人,并向所有联系人群发附带恶意下载链接的钓鱼短信进行恶意传播
- 一旦发现用户执行卸载此恶意软件的操作,该病毒会直接锁定用户手机,并对用户进行勒索
病毒运行流程图
一、病毒行为详细分析
(一)窃取用户短信信息
Trick病毒程序运行后,首先获取用户手机中的所有短信,以邮件正文的形式上传至指定邮箱,同时还会将短信内容写入txt文件中同步上传:
通过邮箱上传,邮件标题为“短信”:
通过对Trick病毒样本的溯源,我们发现了该恶意开发者的邮箱信息,在邮箱中发现大量感染用户的隐私信息,其中以各类短信验证码最为常见。
虽然该病毒样本本身并没有窃取用户账户信息的功能,但是考虑到目前大量的隐私信息被泄露,恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息,后续通过短信拦截马执行解绑、改密、转账等操作。
(二)激活设备管理器
运行后,Trick病毒会诱导用户激活设备管理器:
若用户成功激活设备管理器,则会提示用户重启软件:
(三)隐藏图标
激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。
(四)接收短信指令进行远控行为
Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信,解析此短信内容发现它会执行以下操作:
指令1:锁机 锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038******有偿解锁。
指令2:短信 短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。
指令3:群发 群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。
该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。
(五)实时上传短信
Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。
(六)卸载程序锁机
Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时,该病毒会直接将用户手机锁屏并勒索,勒索界面与以上锁机界面相同:
(七)第三方推送服务
Trick病毒还实现了Bmob的第三方推送服务功能,在当前的程序中并没有对推送消息进行处理,可以推测在后续的版本中可能会实现执行更多的指令控制或其他功能。
二、恶意开发者追溯
(一)追溯恶意开发者主控手机号码以及地域信息
我们从代码静态分析中得到恶意开发者发送指令的主控手机,通过对主控手机归属地的查询,可以看到该号码号码归属地为四川德阳市:
(二)追溯恶意开发者SNS账号信息及姓名
我们从代码静态分析中得到恶意开发者邮箱信息,在邮箱中有蒲公英应用分发平台上的账号,从中可以得知作者的名字和QQ:
(三)进一步判断恶意开发者身份
a)通过上一追溯环节的结论,我们得到了恶意开发者的qq账号,以下是其qq账号个人资料信息。从下图可以看到,该开发者的年龄为18岁(但该信息不一定可靠),初步推断其为高中生的可能性。
b)通过访问该qq对应的qq空间,我们看到其空间中展示了某渠道拦截到的受害者短信信息,为该qq与实际攻击者进行了一次强关联,也进一步保证了我们通过该qq收集的攻击者信息的可靠性。
c)该空间中上传了一些学校运动会的照片,可以推断出该攻击者为一名学生。
d)我们在其空间中看到了攻击者发布的学校位置的卫星图以及对应的卫星拍摄视频地址。通过查看该卫星拍摄视频,视频结尾呈现了视频制作者姓名,而该姓名与前面追溯环节所得到的攻击者姓名信息完全一致。
e)更为关键的是,该卫星拍摄地图以及空间中的说说信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德阳市下某县的某所高中,进一步印证了攻击者为高中生的推测。
综上,我们可以推断出该恶意开发者极有可能是来自四川省德阳市下某高中的一名高中生。
三、总结
Trick病毒伪装成中国移动,以免费获取话费的钓鱼短信诱导用户下载并安装病毒。该病毒运行后窃取用户的短信内容并上传至指定邮箱,同时向联系人群发钓鱼短信进行恶意传播。此外,该病毒通过短信指令远控执行恶意行为,后续可能进一步形成僵尸网络。
Trick病毒虽然没有窃取用户账户密码的恶意功能,但从恶意开发者邮箱内的短信内容可以合理推断出该恶意开发者极有可能通过其他渠道获取用户的QQ、微信、甚至银行账户等隐私信息,后续通过解绑、改密的方式登录用户账户,对用户财产造成极大的安全风险。
一个出自高中生之手的病毒技术如此高明,让我们深感如今高中生信息技术水平之高的同时,也警醒我们应该加强对网络安全感兴趣的年轻人的正向引导,将他们的技术天赋应用在对抗网络攻击上,而不是开发病毒窃取别人的隐私、财产,否则黑客最终将会受到法律制裁。
四、安全建议
针对Trick拦截马病毒,集成AVL反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:
- 请从正规的应用市场下载应用,不要在不知名网站、论坛、应用市场下载应用
- 谨慎点击短信中附带的链接
- 不要在任何场合随意泄露自身隐私信息,注重自身隐私保护
- 建议在手机中至少安装一款杀毒软件,同时保持定期扫描的习惯
安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。
AVL移动反病毒引擎致力于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前除了为小米MIUI输送安全能力外,也与其他众多知名厂商达成安全侧合作,为猎豹、阿里云YunOS、OPPO、VIVO、步步高、努比亚、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。
转载请注明来源:http://blog.avlsec.com/?p=4076
更多技术文章,请关注AVL Team官方微信号
Trick蠕虫病毒来袭!幕后主使竟是一名高中生“黑客”!的更多相关文章
- 服务器中了蠕虫病毒Wannamine2.0小记
近期用户反馈某台服务器总感觉性能不是很好存在卡顿,于是今天远程上去分析. 打开任务管理器发现CPU使用率非常低,内存使用也在接受范围内(10/64G).不过我有一个偏好就是不喜欢用系统自带的任务管理器 ...
- 刀锋上前行!绕过Ramint蠕虫病毒直接脱壳
系统 : Windows xp 程序 : 某游戏客户端 程序下载地址 :不提供 要求 : 脱去压缩壳 使用工具 : OD & PEID & LordPE & Import RE ...
- WannaCry勒索比特币蠕虫病毒解决方案
WannaCry ransomware used in widespread attacks all over the world Customer Guidance for WannaCrypt a ...
- Window应急响应(二):蠕虫病毒
0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序. 常见的 ...
- srv.exe蠕虫病毒~
你是否在电脑使用过程中遇到过这样的问题: 1.文件运行后,同目录下会出现一个原名 srv.exe的文件 2.文件运行后会把浏览器打开 3.电脑上的html文件末尾会增加一大堆东西 完了,电脑中了srv ...
- AI病毒来袭,拿什么拯救你我的电脑?
文|雷宇 来源|智能相对论(aixdlun) 在刘慈欣的科幻小说<中国2185>中,除领土,领海,领空外,还有一个被称为电子领土的地方,这个地方除了容易受常规武器破坏外,还容易受到软件武器 ...
- 3.Windows应急响应:蠕虫病毒
0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫 ...
- [转帖]Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染
Docker Hub上镜像发现挖矿蠕虫病毒,已导致2000台主机感染 https://www.kubernetes.org.cn/5951.html 本来想说可以用 official版本的镜像 但是一 ...
- Ramnit蠕虫病毒分析和查杀
Ramnit是一种蠕虫病毒.拥有多种传播方式,不仅可以通过网页进行传播,还可以通过感染计算机内可执行文件进行传播.该病毒在2010年第一次被安全研究者发现,从网络威胁监控中可以看出目前仍然有大量的主机 ...
随机推荐
- Delphi 获取时间的年月日
procedure TFrmLltj.FormActivate(Sender: TObject); var Present: TDateTime; Year, Month, Day, Hour ...
- XPath 学习二: 语法
XPath 使用路径表达式来选取 XML 文档中的节点或节点集.节点是通过沿着路径 (path) 或者步 (steps) 来选取的. 下面列出了最有用的路径表达式: 表达式 描述 nodename 选 ...
- spring boot + swagger + mysql + maven
1.首先编写 yaml 文件,创建项目所需的接口,在swagger.io官网上生成 spring boot项目: 2.由于生成的spring boot项目是公共类的所以还需要修改成所需的项目名称,主要 ...
- 基于tomcat与Spring的实现差异化配置方案
起因 在实际开发过程中经常需要加载各种各样的配置文件..比如数据库的用户名密码,要加载的组件,bean等等..但是这种配置在各个环境中经常是不一样的....比如开发环境和测试环境,真实的生产环境.. ...
- XML文件(2)--使用DOM4J示例
其他依赖字段/方法 private List<Book> bookList = new LinkedList<Book>(); public List<Book> ...
- SQL 删除索引错误
SQL Server 数据库执行 ”DROP INDEX 索引名 ON 表名“ 时出现“不允许对索引 '索引名' 显式地使用 DROP INDEX.该索引正用于 PRIMARY KEY 约束的强制执行 ...
- switch的使用
ji本没用过这个函数,今天用到了它,发现了一些使用要注意的地方: switch的参数支持int和枚举,单jdk1.7后,开始支持String类型.我特意在jdk1.8上试了试, public clas ...
- jcFeather Maya 羽毛插件
jcFeather 2.8.6 插件持续更新地址为:http://www.jerrykon.com/jcFeather.html 和 http://www.creativecrash.com/maya ...
- JS阻止冒泡事件以及默认事件发生的简单方法
如果<p>是在<div>里面,那么呢,<P>有一个onclick事件,<div>也有onclick事件,为了触发<P>的点击事件时,不触发父 ...
- [转]MySQL日志——Undo | Redo
本文是介绍MySQL数据库InnoDB存储引擎重做日志漫游 00 – Undo LogUndo Log 是为了实现事务的原子性,在MySQL数据库InnoDB存储引擎中,还用Undo Log来实现多版 ...