AsiaHitGroup Gang至少从2016年底开始活跃,分发虚假安装应用程序SonvpayA,试图向泰国和马来西亚的至少20,000名受害者收取下载受欢迎应用程序副本的费用。一年后,2017年11月,Google Play上发现了一项新的活动,SonvpayB使用IP地址地理位置确认受害国的国籍,并将俄罗斯受害者添加到WAP收费欺诈中,从而增加从毫无警惕的用户身上窃取资金的可能性。
2018年1月,AsiaHitGroup团队利用重新打包的应用程序SonvpayC重返Google Play,该应用程序使用背景推送通知触发虚假更新对话框。当受害者开始“更新”时,他们会订阅高级付费服务。订阅主要通过WAP收费进行,不需要将SMS消息发送到付费电话号码。相反,只需要用户使用移动网络访问特定网站并自动点击按钮即可启动订阅流程。根据Google Play的大致安装次数,优质服务订阅的费用以及这些应用可用的日期,我们估计自1月份以来,AsiaHitGroup Gang大致赚取了\$ 60,500- \$ 145,000。
McAfee Mobile Research团队最初在Google Play上发现了如下重新打包的Sonvpay应用程序,所有这些应用程序都在今年发布:
图1在Google Play上找到的Sonvpay应用程序
我们于4月10日通知了Google,这些应用立即被删除了。几天后,应用程序“Despacito for Ringtone”再次在商店被发现,但很快被删除。自从2018年1月在Google Play上发布第一个应用程序Cut Ringtones 2018以来,我们共发现了15个应用程序,总安装次数超过50,000次。下表列出了15个恶意应用程序:
在下载时,用户可能注意到的唯一预警标志是该应用程序需要访问SMS消息。一旦安装并执行,应用程序的功能是正常的(QR code reader, ring tones等)。但是,在后台用户不知情的情况下,Sonvpay会侦听传入推送通知,其中包含执行移动收费欺诈的数据。
Sonvpay采用oneignal推送通知服务获取信息启用订阅用户付费服务。为了在不显示通知的情况下在后台接收数据,Sonvpay采用了“onNotificationProcessing”方法并返回“true”以使通知保持静默:
图2无声背景通知
接收到的数据与假更新通知一并执行WAP和SMS欺诈。重新封装的应用使用一段时间之后向用户显示假更新信息。这个假通知只有一个假按钮。如果用户滚动到结尾,则出现误导性短语“点击跳过同意”:
图3伪更新通知
如果用户点击唯一的按钮,Sonvpay将完成其工作。但是,即使没有与此窗口进行交互,如果推送通知中的“price”值为空,Sonvpay仍会继续订阅付费服务:
图4如果“price”值为空,则启动移动收费欺诈
从静默推送通知中获得的参数之一是请求执行移动收费欺诈功能的URL。一旦显示伪更新通知,Sonvpay会请求从另一个远程服务器下载该库:
图5 Sonvpay请求提供额外功能的库文件
新的APK文件被下载并存储在/sdcard/Android/<package_name>/cache/路径中,以便可以在运行时动态加载和执行。我们获取的执行移动收费欺诈的库仅针对哈萨克斯坦和马来西亚,但由于该库位于远程服务器中,并且可以动态加载,因此它可能随时更新以锁定更多国家或移动运营商。
在哈萨克斯坦,Sonvpay会加载通过静默推送通知传递的特定网址,并使用JavaScript点击“激活”按钮来欺骗用户订阅付费服务:
图6哈萨克斯坦的WAP收费欺诈
在马来西亚,恶意软件会创建一个新的WebView,将“Shortcode”和“Keyword”参数发送到特定的URL,促使用户订阅WAP付费服务:
图7马来西亚的WAP收费欺诈
但是,在马来西亚,app需要拦截移动运营商通过SMS发送的PIN码。Sonvpay在重新打包的应用程序中实现了SMS拦截功能:
图8处理截获的SMS消息以获取PIN
一旦获得PIN码,它就会通过网络请求发送给移动运营商,以自动确认订阅。如果哈萨克斯坦或马来西亚的参数不匹配,Sonvpay仍尝试通过将SMS消息发送至静默推送通知提供的付费号码来执行移动收费欺诈:
图9将SMS消息发送到付费电话号码的函数
在2018年攻击活动中进行模式匹配时,我们找到了应用程序DJ Mixer-Music Mixer。只要此应用程序执行,它会检查设备是否具有Internet连接。如果设备处于脱机状态,则应用程序将显示错误消息“请您连接到互联网以继续”并结束。如果设备处于在线状态,则应用程序会执行针对特定网址的web请求:
图10对AsiaHitGroup Gang URL的Web请求
我们了解到开发者SHINY Team 2017创建的应用程序已于2017年9月在Google Play上发布;较早的Sonvpay变体是在2017年11月发现的。两种变体的主要行为几乎相同,包括将主图标和应用程序名称更改为下载管理器,以便向用户隐藏其身份。DJ Mixer可通过IP地址的地理位置识别受感染设备所属的国家并执行移动收费欺诈:
图11使用IP地理定位针对特定国家/地区
在本案例中,通过地理定位服务仅针对三个国家:俄罗斯(RU),泰国(TH)和马来西亚(MY)。如果受感染设备的IP地址不是来自这些国家中的任何一个,则会出现一个对话框,声称该应用程序未处于活动状态,用户需要卸载并更新到最新版本。
如果是泰国或马来西亚,恶意应用程序会随机选择一个关键字来选择图像,向用户提供高级服务。在马来西亚,中包含服务条款的英文文本和“订阅”按钮来接受随机选择的付费服务:
图12马来西亚IP显示的屏幕
在泰国,文本内容为泰文,并包含服务条款以及取消订阅和停止收费的说明:
图13泰国IP显示的屏幕
在俄罗斯,用户不会看到任何图像。该应用欺骗性地通过WAP收费向用户收费,同时启用3G并禁用Wi-Fi:
图14强制使用3G来启动WAP收费欺诈
从2016年末就出现了类似的冒充合法的流行app,通过短信欺诈要求用户支付费用。这些内容与2018年攻击行动中看到的文字相似,但标记为Term of user:
图15虚假安装程序要求用户支付流行的合法应用程序
如果用户点击“否”,则应用按预期执行。但是,如果用户点击“是”,则应用程序通过发送具有特定关键字的SMS消息到短号码来向用户订阅付费服务。接下来,移动运营商通过SMS向设备发送PIN码;恶意软件会拦截PIN并通过网络请求返回以确认订阅。
一旦用户被欺诈,订阅了高级付费服务在官方应用程序商店下载免费应用程序的副本,则恶意软件显示对话“下载游戏”并继续下载存储在第三方服务器上的另一APK。尽管我们从远程服务器下载的APK文件是合法流行应用程序的副本,但该文件可以随时更改为其他恶意软件。
与之前的攻击不同,我们没有找到证据证明这些伪装应用程序是通过Google Play分发的。我们相信他们是通过虚假的第三方市场发布的,用户在这些市场上寻找受欢迎的应用程序,从未知来源下载APK文件会被欺骗。2018年6月,ESET和Sophos发现这个变种的新版本伪装成流行的游戏Fortnite。通过YouTube视频诱导用户从特定URL下载假应用来传播。最近的这项行动表明,这种威胁背后的网络犯罪分子仍然在积极诱骗用户安装这些虚假应用程序。
所有这些攻击都依赖针对东南亚和中亚地区用户的收费欺诈app,并使用几乎相同的文字和来欺骗用户订阅付费服务。三个攻击行动的其他潜在关联表明,所有应用都可能来自同一个攻击组织。例如,所有攻击的应用都使用与调试日志标记相同的字符串:
图16用作日志标记的“SonLv”字符串出现在所有的攻击中
在包和类名称以及使用通用框架(telpooframe)执行典型任务(如数据库,网络和接口支持)方面也存在显着的相似性:
图17所有攻击中的常见包名和类名
最后,Google Play攻击中的app使用域名vilandsoft[]com来检查更新。虚假安装程序活动中的应用程序也使用相同的域名来提供远程执行命令,例如action_sendsms:
图18一个虚假安装程序检查action_sendsms命令
下述时间表标识了我们找到的该组织的攻击行动,诱骗用户安装应用、分发方式、主要payload和目标国家的策略:
图19 Sonvpay活动的时间表
Sonvpay行动是AsiaHitGroup网络犯罪分子如何不断调整策略,诱骗用户订购收费服务并提高利润的一个例子。这些攻击从2016年底开始,用非常简单的虚假安装程序,向用户收取流行应用程序副本的费用。2017年底,Google Play应用滥用WAP收费服务,并使用IP地址地理位置定位特定国家/地区。 2018年,Google Play应用使用无声背景推送通知来触发显示伪造的更新消息并收集移动收费欺诈数据。我们预计网络犯罪分子将继续开发和分发新的收费欺诈,瞄准更多的国家并影响全球更多的用户。
网络犯罪分子总是追逐金钱,而从用户那里窃取金钱的最有效方法之一就是通过收费欺诈。例如,受害者可能不会注意到欺诈性收费,因为收费的信息直到月底才会出现在移动账单上。即使提前发现付款,大部分情况都是订阅收费而非一次性付款。因此,受害者需要找到一种方法来取消订阅付费服务。但如果订阅是悄无声息的发生,或者如果应用程序不提供该信息,这可能并不容易分别。此外,WAP收费欺诈不需要将SMS消息发送到付费号码使得更容易提交。网络犯罪分子只需要通过强制他们加载WAP收费服务页面并点击按钮来静默订阅用户。由于这些原因,我们预计移动收费欺诈将继续针对Android用户。
McAfee Mobile Security将此威胁检测为Android/Sonvpay。为了保护自己免受此类和类似威胁,请在移动设备上使用安全软件,在Google Play上检查应用的用户评论,并且不要在应用打开后立即接受或信任通过SMS消息要求付款功能的任何互动。打开新浪新闻 发现更多精彩
打开
新浪科技
Windows 7 *** 作系统中的网络IP与DNS设置
天极网
2012083009:58
关注
作者:Shiny
Win7系统凭借酷炫的界面以及简单、易用、快速、安全等特点,迅速成为全球最受用户喜爱的 *** 作系统,如今Win7已经售出超过63亿份,成为大家生活学习工作的好伙伴。在我们使用Win7的时候,有时会遇到一些网络问题,需要查看或者自行设置网络IP与DNS(域名系统),下面我们介绍具体 *** 作方法和步骤。
用鼠标右键或者左键点击Win7桌面右下角的“网络连接标志”图标,选择“打开网络和共享中心”。
在“网络和共享中心”点击“本地连接”。
在“本地连接状态”面板中我们可以看到当前的网络本地连接状态,点击“属性”按钮。
根据当前的网络状况,选择“Internet协议4(TCP/IP)”或者“Internet协议6(TCP/IP)”。目前大部分的网络应该是“Internet协议4(TCP/IP)”,然后点击“属性”按钮即可进入设置界面。
现在我们就进入了Win7系统当前的网络IP和DNS设置界面中。
如果网络支持DHCP(自动动态主机配置协议),我们可以直接选择“自动获得IP地址”和“自动获得DNS服务器地址”,则 DHCP 会为网络中的计算机自动分配 Internet 协议 (IP) 地址,不需要手动配置。
如果需要手动配置,则选择“使用下面的IP地址”以及“使用下面的DNS服务器地址”,然后再填写具体的设置参数即可。
编注:DNS 是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由解析器以及域名服务器组成的。域名服务器保存有该网络中所有主机的域名和对应IP地址,可将域名转换为IP地址。
在IPV4中IP是由32位二进制数组成的,将这32位二进制数分成4组每组8个二进制数,将这8个二进制数转化成十进制数,就是我们看到的IP地址,其范围是在0~255之间。将来代替IPv4的IPV6中,将以128位二进制数表示一个IP地址。
打开新浪新闻
回到首页 查看更多精彩
打开新浪新闻,阅读体验更佳
相关视频
五个舅舅不养外婆,生活拮据的外孙替赡养十几年……
473119次播放
08:54
18年马来西亚擅自撕毁中马合同,拒赔361亿违约金,次年:求重启
461171次播放
10:14
广东省运会U15假球事件……
236444次播放
00:08
相关新闻
更多
疫情下的杭州!一股末世感袭来…
疫情下的杭州!一股末世感袭来…
疫情下的杭州!一股末世感袭来…
疫情下的杭州!一股末世感袭来…
ETF定投报
1800吨黄金运抵中国,中国全力抛售美债,美财长紧急会见秦刚大使
269中华网官微
1800吨黄金运抵中国,中国全力抛售美债,美财长紧急会见秦刚大使
中俄谈判刚结束,俄情报局长提醒中国,提防美国动摇中方内部势力
5中华网官微
中俄谈判刚结束,俄情报局长提醒中国,提防美国动摇中方内部势力
他的猝然离世,让“阳康”们震惊
他的猝然离世,让“阳康”们震惊
他的猝然离世,让“阳康”们震惊
他的猝然离世,让“阳康”们震惊
233周冲周冲
推荐阅读
更多
维埃拉炮轰阿根廷门将:愚蠢的庆祝 给阿根廷留污点
曝C罗只信女友!让乔治娜取代门德斯,帮他谈成89亿天价加盟合同
曝C罗只信女友!让乔治娜取代门德斯,帮他谈成89亿天价加盟合同
曝C罗只信女友!让乔治娜取代门德斯,帮他谈成89亿天价加盟合同
曝C罗只信女友!让乔治娜取代门德斯,帮他谈成89亿天价加盟合同
101三十年莱斯特城球迷
亚洲足坛变天!俄罗斯将加入亚足联,FIFA管不了,跟国足争世界杯
亚洲足坛变天!俄罗斯将加入亚足联,FIFA管不了,跟国足争世界杯
亚洲足坛变天!俄罗斯将加入亚足联,FIFA管不了,跟国足争世界杯
亚洲足坛变天!俄罗斯将加入亚足联,FIFA管不了,跟国足争世界杯
125小贤爱足球
英媒:梅西超越C罗?仍然还差1个荣誉!莱万:梅西连续7年没得奖
英媒:梅西超越C罗?仍然还差1个荣誉!莱万:梅西连续7年没得奖
英媒:梅西超越C罗?仍然还差1个荣誉!莱万:梅西连续7年没得奖
英媒:梅西超越C罗?仍然还差1个荣誉!莱万:梅西连续7年没得奖
311夜的黑眼圈不圈
足球报:若申花降级对中国足球来说是灾难性事件
646新浪体育
足球报:若申花降级对中国足球来说是灾难性事件
埃梅里:大马丁内斯归队后将和他谈谈庆祝的问题
4新浪体育
埃梅里:大马丁内斯归队后将和他谈谈庆祝的问题
贝克汉姆大儿子做中式炒饭毫无食欲 啃父母变啃岳父 下厨为讨好?
贝克汉姆大儿子做中式炒饭毫无食欲 啃父母变啃岳父 下厨为讨好?
贝克汉姆大儿子做中式炒饭毫无食欲 啃父母变啃岳父 下厨为讨好?
贝克汉姆大儿子做中式炒饭毫无食欲 啃父母变啃岳父 下厨为讨好?
6金牌审片馆
当年谁能想到,4球定3冠的超级神锋竟被球王弃用…
当年谁能想到,4球定3冠的超级神锋竟被球王弃用…
当年谁能想到,4球定3冠的超级神锋竟被球王弃用…
当年谁能想到,4球定3冠的超级神锋竟被球王弃用…
球叮足球
哪些时间出生的人,是金子且能发光,不容易被埋没,终能成功
哪些时间出生的人,是金子且能发光,不容易被埋没,终能成功
哪些时间出生的人,是金子且能发光,不容易被埋没,终能成功
哪些时间出生的人,是金子且能发光,不容易被埋没,终能成功
运势女王
杨鼎新质疑李轩豪作弊,有三点让人不服
杨鼎新质疑李轩豪作弊,有三点让人不服
杨鼎新质疑李轩豪作弊,有三点让人不服
杨鼎新质疑李轩豪作弊,有三点让人不服
296老高说体育
普京下令:全歼进入乌克兰的美军!俄罗斯和北约冲突箭在弦上
普京下令:全歼进入乌克兰的美军!俄罗斯和北约冲突箭在弦上
普京下令:全歼进入乌克兰的美军!俄罗斯和北约冲突箭在弦上
普京下令:全歼进入乌克兰的美军!俄罗斯和北约冲突箭在弦上
796兵之佳
本是和武磊相差无二的射手,每次进国足就受伤,如今终于真相大白
本是和武磊相差无二的射手,每次进国足就受伤,如今终于真相大白
本是和武磊相差无二的射手,每次进国足就受伤,如今终于真相大白
本是和武磊相差无二的射手,每次进国足就受伤,如今终于真相大白
59小熊戏体育
47岁李玟与肌肉男亲密搂抱!两人贴身毫不避嫌,穿吊带春光乍现
47岁李玟与肌肉男亲密搂抱!两人贴身毫不避嫌,穿吊带春光乍现
47岁李玟与肌肉男亲密搂抱!两人贴身毫不避嫌,穿吊带春光乍现
47岁李玟与肌肉男亲密搂抱!两人贴身毫不避嫌,穿吊带春光乍现
38猫眼电视
谷爱凌身材绝了,又登杂志封面!过亿年入曝光,社交圈全是富豪
谷爱凌身材绝了,又登杂志封面!过亿年入曝光,社交圈全是富豪
谷爱凌身材绝了,又登杂志封面!过亿年入曝光,社交圈全是富豪
谷爱凌身材绝了,又登杂志封面!过亿年入曝光,社交圈全是富豪
3一只眼体育
在罗京葬礼上哭到昏厥的妻子,7年后改嫁某富商,如今生活怎样了?
在罗京葬礼上哭到昏厥的妻子,7年后改嫁某富商,如今生活怎样了?
在罗京葬礼上哭到昏厥的妻子,7年后改嫁某富商,如今生活怎样了?
在罗京葬礼上哭到昏厥的妻子,7年后改嫁某富商,如今生活怎样了?
52原来如此bot
山东泰山绝望!武汉三镇最后3个对手,已有2个倒下,基本锁定冠军
山东泰山绝望!武汉三镇最后3个对手,已有2个倒下,基本锁定冠军
山东泰山绝望!武汉三镇最后3个对手,已有2个倒下,基本锁定冠军
山东泰山绝望!武汉三镇最后3个对手,已有2个倒下,基本锁定冠军
45小熊戏体育
清末富二代,为了革命刺杀恩师,最后被师娘下令挖心处死
清末富二代,为了革命刺杀恩师,最后被师娘下令挖心处死
清末富二代,为了革命刺杀恩师,最后被师娘下令挖心处死
清末富二代,为了革命刺杀恩师,最后被师娘下令挖心处死
282晚班汔车
吕丽萍在美国演讲攻击杨丽萍,说她的演出像是在祭鬼,没什么意思
吕丽萍在美国演讲攻击杨丽萍,说她的演出像是在祭鬼,没什么意思
吕丽萍在美国演讲攻击杨丽萍,说她的演出像是在祭鬼,没什么意思
吕丽萍在美国演讲攻击杨丽萍,说她的演出像是在祭鬼,没什么意思
1328念寒娱评
北京朝阳医院医生:奥密克戎导致肺炎的风险被低估了!
3684新浪新闻
北京朝阳医院医生:奥密克戎导致肺炎的风险被低估了!
替代C罗!曼联梭哈16球17助神锋,打脸滕哈赫,或成锋线最后拼图
替代C罗!曼联梭哈16球17助神锋,打脸滕哈赫,或成锋线最后拼图
替代C罗!曼联梭哈16球17助神锋,打脸滕哈赫,或成锋线最后拼图
替代C罗!曼联梭哈16球17助神锋,打脸滕哈赫,或成锋线最后拼图
1原谅足球原创
推荐搜索
广告
windows 7怎么设置ip地址
win7专业版的dns服务安装
windows 7重置dns
windows 7 的ip地址
windows 7系统网络ip地址在哪看
windows 7如何设置网络ip
精彩播报
这比鬼屋还要吓人!
广东省运会U15假球事件……
这也太好用了是谁研究出来的?
梅西的脚法太准了,连续把球踢进垃圾桶!
这不是原理 ?
台湾民众走上街头抗议民进党,大声呼吁:还我“小三通”!
摄影师应该在车上吧!
下次不能再随便下蛋了?
家里又没有蒸笼,只能这样了
关晓彤讲老北京饭桌上的两条规矩
怎样才能优雅又不失灵活的跳上丰田坦途的货箱
一位网友在美国某地一加油站拍下的一幕
没抓住滑板就是另外个故事了!
有两把刷子,这样做目的是什么?
大爷懂差异化策略,赞一个!
视频 直播 美图 博客 看点 政务 搞笑 八卦 情感 旅游 佛学 众测
首页 导航 反馈 登录
Sinacn(京ICP证000007) 2022-12-25 14:13
说说你的看法
0
打开APP
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)