从年5月至今，AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马，顾名思义是一种可以拦截他人短信木马，就是让被攻击者收不到短信，并将短信内容截取到攻击者手机上。

此类木马目前最常见的是通过钓鱼、诱骗、欺诈等方式诱导用户装上木马，然后通过拦截转发用户短信内容，以此获取各种用户重要的个人隐私信息，如用户姓名、身份证号码、银行卡账户、支付密码及各种登录账号和密码等，造成这些信息的泄露，再利用此信息从而达到窃取用户资金的目的，严重威胁用户的财产安全。

另外，此前流行的”XX神器”也有短信拦截转发的功能。

短信拦截马功能简单、开发成本低，但更新变化速度快，伪装目标不断更换，涉及样本量比较庞大。从最早13年5月出现到14年9月，共截获该类木马将近2万个。

从13年5月起，AVL移动安全中心每月都能监控到该类木马，从其活跃曲线可以看到其呈现不断增长的趋势：

图1拦截马样本捕获情况

短信拦截马其行为主要是拦截并转发短信来窃取隐私，此外部分还带有诱骗欺诈、远程控制、资费消耗、恶意扣费等。从下图拦截马主要行为分布可以发现诱骗欺诈、远程控制、资费消耗都占有不小的比例：

图2拦截马主要行为分布

下图为样本包名Top20，从中可以发现最多的是伪装成Android系统应用名，其次则是example、test等测试名称：

图3拦截马伪装包名Top20

样本伪装应用Top10，不出意外的中国移动最多，下图中其实还有移动客户端、、移动掌上营业厅、掌上营业厅、移动营业厅都属于伪装的移动应用，其次则是伪装的淘宝”淘分享”：

图4拦截马伪装应用Top10

拦截马家族发展迅速，持续的演变过程中便不得不与安全软件查杀对抗，除了常规恶意代码手段，拦截马家族更喜欢采用加壳这种简单有效的手段。频繁更换修改加壳方式，高频率持续更新以保证绕过安全软件，拦截马对抗颇有09年PC上的免杀趋势。

下图为拦截马家族加壳样本捕获情况，从图中可见从拦截马最早出现的时候就已经开始有使用加壳技术了，不过直到年6月才开始持续增长，而现在正是高速爆发时期:

图5拦截马加壳样本捕获情况

下图为拦截马加壳样本与当月样本数的统计情况，拦截马的捕获数量依然在持续增长，而加壳样本比例亦在增加：

图6拦截马加壳样本统计

对拦截马加壳样本所采用的加壳方案做了一下统计，其中大部分都在使用apkprotect这一加固方案，而其他方案则少许多：

图7拦截马加壳类型统计

加固是一把双刃剑，保护开发者APP的同时也成为木马作者的一把”保护伞”，希望诸多加固公司能在加固应用前多做恶意代码审核工作。

拦截马的爆发必然有其原因，根据AVL团队研究人员多方采证以及卧底取证，最终还原了其完整的黑色产业链：

图8拦截马攻击模型

从伪基站发送伪造钓鱼网站地址，再到用户访问钓鱼网站，欺骗用户输入个人信息，网站挂马诱导用户下载安装短信拦截木马，最后攻击者在线转账时通过拦截马转发网银验证码完成转账，这就是一个简单的拦截马工具模型。

图9拦截马黑色产业链

拦截马黑色产业链分工明确结构简单，主要由以下四部分组成：1.开发售卖：这部分主要是拦截马木马的开发以及免杀、钓鱼网站的开发出售、伪基站的出售；2.木马分发：广撒网才能多收鱼，拦截马分发手段主要有钓鱼短信、网站挂马、







































中医如何治疗白癜风
北京那里有好的白癜风医院

转载请注明原文网址：http://www.gzdatangtv.com/jsyy/6998.html