雷峰网
雷峰网
5年前
今天的宅客“黑镜头”,我们来看一个逆天的诈骗剧本:
1、你收到一条短信,内容是:电子凭证或者单位代号,其中附加了一个链接。你觉得这条短信可能和自己的工作生活相关,于是点击了链接,有一个名为“最高人民检察院”的 App 被安装到了手机上。
2、几天后,你突然接到来自“警方”的电话,对方严厉地警告你:你涉嫌犯罪,需要配合调查,把资金转移到警方的“安全账户”。
3、你表示呵呵,因为你曾经听说过这样的骗局。对方说,你不信的话,我可以帮你转接到“检察院”,你自己来核实。
4、你表示呵呵:“你们转接的电话,我怎么知道是不是打到检察院呢?”对方淡定地说:“没关系,你可以挂掉电话,拨打110查询一下。”
5、你将信将疑,挂断电话并且拨打110,电话接通后,“警方”经过查询,告诉你确!实!存在犯罪嫌疑,你开始方了。
在以上的“戏剧”中,电话那头的人确实是骗子无疑。但是有一点你可能会百思不得姐,那就是:
为神马拨打 110 报警电话,都会接通到骗子那里?
为了解答这个秘密,安天AVL移动安全团队“卧底”调查长达两年时间。揭开了这类伪装成“最高人民检察院”应用的 Android 木马病毒,并且发出了详尽的报告:《病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史》
雷锋网宅客频道获得安天AVL移动安全团队授权,转发报告全文如下:
自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。
2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:
攻击者首先向受害者的手机发送含恶意应用下载链接的短信,这一步可能是借由伪基站群发短信实现的;
攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接,下载安装恶意程序,最终获取受害者手机的root权限;
恶意程序被成功安装到受害者手机后,诈骗者会主动打电话给受害者,并声称将电话转接至检察院确认,但现在大部分人都对这类电信诈骗的防范意识较高,会拒绝对方的电话转接;
此时,诈骗分子会主动要求受害者挂断电话,并亲自拨打110确认事件的真伪。当受害者将电话拨出后,安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,完全落入圈套。
通过AVL移动互联网恶意程序检测平台捕获数据可以看到,该类型病毒样本首次出现在2014年9月。在此后两年时间里,又先后捕获到4类包结构各不相同的病毒新变种样本180余个。这类病毒的感染者主要分布于我国浙江省和广东省,福建、湖北、江西等地也有感染案例。
在该病毒不断进化的进程中,攻击者先后注册了多个C&C服务器,相关IP地址16个,服务器分布在香港、新加坡、日本等5个以上的国家和地区。由此我们可以看到攻击者通过不断变换地点等手段来逃避侦查。
恶意行为详情分析
恶意行为实现流程示意图
文章1
伪造电子凭证
当恶意应用被成功安装并运行后,受害者手机会显示一个伪造的最高人民检察院发布的电子凭证,恐吓受害者因涉嫌犯罪,而需要接受调查。此时,防范意识薄弱的受害者可能会直接相信对方。即便其他受害者具备足够的防范意识,诈骗者依然有办法逼其就范。那就是劫持受害者手机的报警电话,然后明确告诉受害者可以自行拨打110确认。
以下是伪造的最高人民检察院发布的电子凭证样例。从以下三张电子凭证样例,我们可以看到检察长的签名都是根据现实情况不断更新,说明攻击者最大程度消除受害者对此电子凭证的怀疑,提高电信诈骗的成功率。
文章2
劫持报警电话
文章3
从以上代码截图可以看到,即使受害者是自行拨打的报警电话,电话那头依然是诈骗者,从而使得受害者信以为真,最终落入攻击者圈套,后果不堪设想。
上图中诈骗分子劫持的目标号码如下:
文章4
其中“021110”并非源码中显示的湖北省公安厅,而是上海市公安局。
窃取受害者隐私数据
作为整个电信诈骗链条上的重要一环,该病毒本质是一款间谍件。其功能不仅是显示检察院电子凭证以恐吓欺骗受害者,还在后台窃取用户隐私数据并上传至指定恶意服务器,给受害者的个人利益带来更大损害。
该病毒会开机自动运行,运行后自动生成用于显示电子凭证的activity组件,同时在后台启动用于窃取用户隐私数据的service组件。
该组件service组件首先创建一个名为phoneConfigdb的数据库文件并将其初始化。该数据库主要记录呼出会话和当前配置信息两项数据,其在库中的索引分别为“phoneCall”和“config”。当数据库数据需要更新时,程序会删除旧表并重新创建和初始化数据库。该数据库可以在/data/data对应应用包目录下找到。具体的数据库表内容如下图所示。
当然,这远不是该间谍应用要的全部隐私数据。接下来,它会使出浑身解数获取受害者设备上的各类数据,并将它们写入JSON保存起来。
通过分析反编译代码,我们总结该病毒意图的数据种类如表1所示。
文章5
上传受害者隐私数据
获取到受害者的隐私数据后,下一步攻击者会通过联网将其上传至服务器。这一部分主要是在应用/lib/armeabi文件目录下的libjpomeloso动态库文件中实现的。
该间谍件通过与远程服务器建立>
如果涉及已经诈骗,而且发生财产损失的,应立即拨打110进行报案。
如果未涉及财产损失,可以拨打12321进行举报,也可以去官网举报。12321网络不良与垃圾信息举报受理中心
12321网络不良与垃圾信息举报受理中心为中国互联网协会受工业和信息化部(原信息产业部)委托设立的举报受理机构。
负责协助工业和信息化部(原信息产业部)承担关于互联网、移动电话网、固定电话网等各种形式信息通信网络及电信业务中不良与垃圾信息内容(包括电信企业向用户发送的虚假宣传信息)的举报受理、调查分析以及查处工作。
扩展资料:
12321工作职责:
(1) 接收社会各界关于网络不良与 垃圾信息的举报;
(2) 对举报所反映的问题进行核查、统计和分析,并报送有关政府部门;
(3) 监督基础运营商等相关电信企业的网络不良与垃圾信息用户投诉举报受理工作;
(4) 协助有关政府部门依法查处被举报的网络不良与垃圾信息;
(5) 统计、公布网络不良与垃圾信息的处理结果;
(6) 工业部委托交办的其他事项。
参考资料来源:百度百科-12321
如你接到骚扰电话,可通过骚扰电话举报网站进行举报。
如你手机有自带设置黑名单功能,可通过手机设置将号码添加到黑名单列表中,或者可通过第三方软件将号码加入黑名单中。也可以拨打110举报。
因为这个是网络拨号,所以每次他们都有不同的号码打进来,一直打一直打,打到你接为止!不管怎么样都不要轻易相信。能不接就不接吧,实在没办法接了也别被套路了,自己没办法辨别的时候和周围的人分析一下,因为有时候真的不知道怎么的就会被套路,着魔了。
有的是拨号器拨打的,接起来后对方是那种机械的(录制好的)话语,主要就是宣传一些国家的负面消息。
这种电话通常是诈骗电话或者是推销股票、炒股、贷款等,千万不要搭理它,骗子的手段是一套一套的,你一旦搭理有可能就会中招。最好把这个电话号码拉黑,现在不熟悉的电话,特别是境外的、国际的、莫名其妙的电话号码都不要去接。
没事,这属于骚扰电话,不理会就可以了。如果经常有境外电话给你打过来,而你又不认识,可以装个手机管家就可以,不要接电话,更不要再打过去。
这种骚扰电话都是虚拟号码,所显示地址也不是真实的。不法分子通过部署在境外的服务器或交换机接入个别国际运营商网络拨打骚扰电话。
这些境外骚扰电话不断变号,而且往往一个国际号码只呼叫一次,单个号码的骚扰特征并不明显,很难通过逐一标记号码或者黑名单等传统方式进行屏蔽。
骚扰电话处理:
中国移动客服人员建议,移动用户可以拨打10086举报骚扰电话,“我们可以给用户发送短信链接,用户点击链接进入移动举报页面,将骚扰号码复制粘贴上去就可以,一般复制几个号码就行。”
这位客服人员表示,网络骚扰电话虽然显示号码、地址千差万别,但是IP地址都是同一个,“我们屏蔽一个IP地址,就可以拦截很多骚扰电话。”在举报之后,用户还可以扫码关注中国移动10086公众号,实时跟踪举报信息处理状态。数字显示,截止到目前,中国移动2020年共受理骚扰电话举报37031次。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)