近期,360移动安全团队发现全球首款专用于网络电信诈骗的Android木马。该木马伪装成“公安部案件查询系统”,可实现窃取隐私、网络钓鱼和远程控制等多种恶意行为,在受害人不知情的情况下转走其银行账户中的资金,对手机用户造成极大威胁。
360移动安全团队据此发布《深入分析跨平台网络电信诈骗》报告,指出当前网络电信诈骗向移动场景转移的趋势,并详细分析了手机木马给网络电信诈骗增加的安全威胁。
诈骗手法3.0:电信诈骗+网络诈骗+ 手机木马
仅通过电话、短信等方式对受害人实现远程、非接触式诈骗是网络电信诈骗1.0时期,此时的受骗率较低;2.0时代的网络诈骗由电信诈骗发展而来,通过电信联络诱导受骗者上钩后,利用网络钓鱼、转账和PC远控木马实现诈骗,一定程度上提高了诈骗成功率。
图1:Android木马为网络电信诈骗新增功能
Android木马加入诈骗过程实现了诈骗手段的3.0进化,使诈骗场景发生了质的变化:一般的网络电信诈骗中,诈骗者必须诱导受害人完成转账;而引入了移动场景的3.0级别,即使受害人没有自主完成转账,诈骗者也可以依靠植入受害人手机的木马,在其不知情的情况下完成远程转账。
受害人“零感知”即损失财产
网络电信诈骗中,诈骗者对受害者实施的主要恶意行为包括隐私窃取、钓鱼和转账。在传统网络电信诈骗过程中,主要利用Web钓鱼网站、PC受控端和后台服务器,实现窃取用户银行账户信息、远控受害人电脑等步骤,但诈骗最关键的步骤,需要受害人自己进行转账操作,极易被受害人感知进而识破骗局。
图2:移动场景下的网络电信诈骗过程
移动场景下的电信诈骗相较于传统场景诈骗多了Android木马和控制服务器,不法分子可通过Android木马对用户手机进行控制,获取用户个人信息,免去了“受害人转账”环节。转账时用户无感知,大大增加了诈骗的成功率,这也是移动场景下网络电信诈骗与传统PC场景下诈骗的最明显区别。
六大关键技术助力手机木马成为诈骗新趋势
根据对样本的分析发现,Android木马利用钓鱼攻击、远程控制、短信监控、远程数据自毁、自我保护和隐私窃取六大关键技术,使得移动场景下的网络电信诈骗手法变得更加灵活和强大。
图3:木马运行截图
手机木马通过短信链接的方式发送至用户手机,当受害人点击链接显示钓鱼页面的同时,木马也会在手机中自动安装并启动。当受害人在页面中输入银行账户信息时,会被回传至控制服务器;通过JPush实现的远程控制,可完成回传联系人、通话记录等信息,甚至可以进行切换通话、黑屏等操作。木马启动后,还可通过激活设备管理器来阻止用户卸载,进行自我保护。
分析整个诈骗环节不难发现:移动场景下的网络电信诈骗流程,仅包含对Android远控端的控制后台,没有任何与PC远端控制相关的部分,说明诈骗者正在由传统的使用PC木马转向使用Android木马。
完整细分的诈骗黑色产业链
完整而复杂的诈骗技术手段由完整而庞大的诈骗团伙提供人力支持:制马人负责木马制作,诈骗者负责实施诈骗,分工明确。诈骗者团队又分为组织者和一线、二线、三线,根据诈骗手法的不同以及团队规模进行任务细分,以避免可能出现的混乱。
图4:网络场景诈骗团伙分工情况
今年3月,广东公安机关专案组就曾远赴马来西亚,在当地警方的协助下打掉5个电信诈骗窝点,共抓获电信诈骗犯罪嫌疑人117名,其中大陆65名,台湾52名。
Android木马“跨界”攻击趋势已现
然而这并不是Android木马第一次“跨界”攻击,电信诈骗、敲诈勒索、色情、流量作弊等行业都曾出现手机木马的身影:Android平台勒索软件致使近15万部手机用户感染,损失金额超过 300万元;“百脑虫”、“舞毒蛾”等以色情播放器为媒介进行传播的木马累计样本达上万个;“流量僵尸”木马引出了庞大的流量泡沫黑色产业利益链。
Android木马已经进入电信诈骗领域,并将成为电信诈骗的新趋势。对此,360手机卫士安全专家建议手机用户,提高手机安全意识,尽量做到以下几点:
1. 尽量避免通过网盘、论坛或扫描来源不明的二维码下载应用,建议选择正规第三方平台或官网下载软件;
2. 不要随意点击短信中的陌生链接,避免误入钓鱼网页或下载恶意应用;
3. 注意保护短信验证码,不要告诉任何人;
4. 安装360手机卫士等手机安全软件,定期对手机进行体检和安全检查,保护手机安全。