目录介绍:
黑客攻破中国电信
那都是扯淡,电信服务器那么多,随便找几个有漏洞的困难也不是很大,攻破谈不上,主要是媒体宣传的作用
报警电话会被黑客劫持吗
拨打110,接电话的却是骗子?安天移动揭秘“劫持报警电话”病毒原理 | 宅客黑镜头
雷峰网
雷峰网
5年前
今天的宅客“黑镜头”,我们来看一个逆天的诈骗剧本:
1、你收到一条短信,内容是:电子凭证或者单位代号,其中附加了一个链接。你觉得这条短信可能和自己的工作生活相关,于是点击了链接,有一个名为“最高人民检察院”的 App 被安装到了手机上。
2、几天后,你突然接到来自“警方”的电话,对方严厉地警告你:你涉嫌犯罪,需要配合调查,把资金转移到警方的“安全账户”。
3、你表示呵呵,因为你曾经听说过这样的骗局。对方说,你不信的话,我可以帮你转接到“检察院”,你自己来核实。
4、你表示呵呵:“你们转接的电话,我怎么知道是不是打到检察院呢?”对方淡定地说:“没关系,你可以挂掉电话,拨打110查询一下。”
5、你将信将疑,挂断电话并且拨打110,电话接通后,“警方”经过查询,告诉你确!实!存在犯罪嫌疑,你开始方了。
在以上的“戏剧”中,电话那头的人确实是骗子无疑。但是有一点你可能会百思不得姐,那就是:
为神马拨打 110 报警电话,都会接通到骗子那里?
为了解答这个秘密,安天AVL移动安全团队“卧底”调查长达两年时间。揭开了这类伪装成“最高人民检察院”应用的 Android 木马病毒,并且发出了详尽的报告:《病毒四度升级:安天AVL Team揭露一例跨期两年的电信诈骗进化史》
雷锋网宅客频道获得安天AVL移动安全团队授权,转发报告全文如下:
自2014年9月起,安天AVL移动安全团队持续检测到一类基于Android移动平台的间谍类病毒,病毒样本大多伪装成名为“最高人民检察院”的应用。经过反编译逆向分析以及长期的跟踪调查,我们判断这可能是一起有组织的电信诈骗犯罪活动。
2014年9月至今,某诈骗组织持续以涉嫌犯罪为由恐吓受害者,并进行电信诈骗活动。整个诈骗流程大致如下:
攻击者首先向受害者的手机发送含恶意应用下载链接的短信,这一步可能是借由伪基站群发短信实现的;
攻击者通常以获取“案件号”、“单位代号”、“电子凭证”的短信诱骗受害者点击链接,下载安装恶意程序,最终获取受害者手机的root权限;
恶意程序被成功安装到受害者手机后,诈骗者会主动打电话给受害者,并声称将电话转接至检察院确认,但现在大部分人都对这类电信诈骗的防范意识较高,会拒绝对方的电话转接;
此时,诈骗分子会主动要求受害者挂断电话,并亲自拨打110确认事件的真伪。当受害者将电话拨出后,安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,完全落入圈套。
通过AVL移动互联网恶意程序检测平台捕获数据可以看到,该类型病毒样本首次出现在2014年9月。在此后两年时间里,又先后捕获到4类包结构各不相同的病毒新变种样本180余个。这类病毒的感染者主要分布于我国浙江省和广东省,福建、湖北、江西等地也有感染案例。
在该病毒不断进化的进程中,攻击者先后注册了多个CC服务器,相关IP地址16个,服务器分布在香港、新加坡、日本等5个以上的国家和地区。由此我们可以看到攻击者通过不断变换地点等手段来逃避侦查。
恶意行为详情分析
恶意行为实现流程示意图
文章图片1
伪造电子凭证
当恶意应用被成功安装并运行后,受害者手机会显示一个伪造的最高人民检察院发布的电子凭证,恐吓受害者因涉嫌犯罪,而需要接受调查。此时,防范意识薄弱的受害者可能会直接相信对方。即便其他受害者具备足够的防范意识,诈骗者依然有办法逼其就范。那就是劫持受害者手机的报警电话,然后明确告诉受害者可以自行拨打110确认。
以下是伪造的最高人民检察院发布的电子凭证样例。从以下三张电子凭证样例,我们可以看到检察长的签名都是根据现实情况不断更新,说明攻击者最大程度消除受害者对此电子凭证的怀疑,提高电信诈骗的成功率。
文章图片2
劫持报警电话
文章图片3
从以上代码截图可以看到,即使受害者是自行拨打的报警电话,电话那头依然是诈骗者,从而使得受害者信以为真,最终落入攻击者圈套,后果不堪设想。
上图中诈骗分子劫持的目标号码如下:
文章图片4
其中“021110”并非源码中显示的湖北省公安厅,而是上海市公安局。
窃取受害者隐私数据
作为整个电信诈骗链条上的重要一环,该病毒本质是一款间谍件。其功能不仅是显示检察院电子凭证以恐吓欺骗受害者,还在后台窃取用户隐私数据并上传至指定恶意服务器,给受害者的个人利益带来更大损害。
该病毒会开机自动运行,运行后自动生成用于显示电子凭证的activity组件,同时在后台启动用于窃取用户隐私数据的service组件。
该组件service组件首先创建一个名为phoneConfig.db的数据库文件并将其初始化。该数据库主要记录呼出会话和当前配置信息两项数据,其在库中的索引分别为“phoneCall”和“config”。当数据库数据需要更新时,程序会删除旧表并重新创建和初始化数据库。该数据库可以在/data/data对应应用包目录下找到。具体的数据库表内容如下图所示。
当然,这远不是该间谍应用要盗取的全部隐私数据。接下来,它会使出浑身解数获取受害者设备上的各类数据,并将它们写入JSON保存起来。
通过分析反编译代码,我们总结该病毒意图盗取的数据种类如表1所示。
文章图片5
上传受害者隐私数据
获取到受害者的隐私数据后,下一步攻击者会通过联网将其上传至服务器。这一部分主要是在应用/lib/armeabi文件目录下的libjpomelo.so动态库文件中实现的。
该间谍件通过与远程服务器建立HTTP连接完成隐私数据上传的行为。具体过程如下图所示。
文章图片6
文章图片7
至此,隐私数据上传完成,受害者手机隐私数据完全掌握在攻击者手中。
病毒变种进化历史
一、萌芽期(2014.9~2014.11)
· 更多的是一些尝试性的攻击
· 该阶段存在两类初代病毒样本,均已具备劫持报警电话的恶意行为
· 作为间谍件窃取数据种类少,功能单一,基本不具备对抗性
二、平稳期(2015.3~2015.8)
· 主要功能仍是劫持报警电话
· 在其中一类初代病毒的基础上做了初步对抗
· 增加窃取数据的种类
三、一次活跃期(2015.9~2016.2)
· 病毒感染量激增
· 犯罪分子新注册多个海外服务器域名
· 病毒新变种的对抗性大幅增强
四、二次活跃期(2016.11至今)
· 病毒感染量呈明显上升趋势
· 几代变种的样本均有发现,情况更为复杂
· 最新型的病毒变种对抗性再次增强
第一阶段:萌芽期(2014.9~2014.11)
在电信诈骗的萌芽期同时活跃着两种类型的病毒变种,它们都具有劫持电话号码以及窃取用户个人数据的行为。其区别在于攻击受害用户设备后获取隐私数据的手段不同。
第一种类型:
以样本
7692A28896181845219DB5089CFBEC4D为例,该变种主要窃取用户的短信数据。它会设置接收器专门用于监听收到新消息的事件,一旦有来信则立即获取其发信方电话号码以及短信内容,并转发至指定号码。
第二种类型:
以样本
4AD7843644D8731F51A8AC2F24A45CB4为例,该变种的窃取对象不再局限于短信,而是拓展至被攻击设备的固件信息、通讯运营商信息等。另外该变种还会检视设备的响铃模式并私自将其调为静音。
就窃取受害用户隐私数据的手段以及窃取的数据种类而言,第二类变种是后续阶段其他病毒变种的元祖。
综合这一阶段的病毒样本,我们发现,不论采用哪种方式获取来自受攻击设备的信息,其对抗性都较弱,对一些容易暴露自己的数据基本没有保护。比如我们从中挖掘到的一些短信转发地址以及远程服务器IP地址和端口号等信息,都是直接以明文形式硬编码在程序中的,很容易被反编译逆向分析,也难逃手机安全软件的查杀。
第二阶段:平稳期(2015.3~2015.8)
该阶段是诈骗的平稳期,或者也可以称为低潮期。这一阶段的攻击表现得不是很活跃。可以理解为诈骗分子的攻击欲望有所衰减,或是蓄势发起新一轮攻击。总体而言,病毒量明显减少。
至于阶段样本中存在的一些新变种,多是在萌芽期第二种类型病毒变种的基础上进行结构形态上的改变,同时采用了代码混淆技术,做了初步的对抗。但其在具体功能上几乎没有发生任何改变。
第三阶段:一次活跃期(2015.9~2016.2)
这一阶段与上一阶段有着明显的分界线。2015年9月1日,手机卡实名制的法规正式开始施行。手机号码与个人身份证绑定,这就意味着攻击者难以再通过短信转发的手段获取受害者的隐私数据,因为攻击者手机号的暴露极大地增加了攻击者被追踪到的风险。
因此,2015年10月以后捕获到的病毒新变种中,短信转发用到的手机号码以及一些指定的短信内容不再直接出现于程序代码中,而是通过联网从远程服务器端下载并解析获取。
从病毒功能上看,该阶段与上一阶段没有太大变化,仍是以劫持电话号码及窃取用户隐私数据为主。
但是攻击范围在本阶段达到了前所未有的高峰。一方面,病毒的感染量激增,病毒样本层出不穷;另一方面,之前恶意服务器几乎都设置在香港,这一阶段陆续出现了韩国、新加坡、日本等新的地点。我们可以推测这是攻击者在为更大规模的电信诈骗做准备,同时更好地隐匿自身踪迹,逃避侦查。这次攻击高峰直至次年2月才逐渐平息。
第四阶段:二次活跃期(2016.11至今)
第一次活跃期过后,诈骗犯罪活动又历经了半年多的平稳期。在这期间,病毒样本数量虽有明显减少,但仍可持续捕获。病毒样本功能未发生较大变化。
直到今年11月上旬,该病毒攻击再次进入活跃期。从新一轮攻击中捕获到的样本来看,该病毒一部分沿用了上一阶段的变种,有些加入了新的对抗机制。另一部分则采用了新型变种,将窃取数据上传服务器的功能实现从Java层转移至SO动态链接库,攻击所需的资料更多是通过从远程服务器下载获取。攻击的危险性与不确定性都有所增强,同时也进一步增加了安全检测和逆向分析的难度。
从本阶段的攻击规模来看,仅11月8日至13日不到一周的时间里,我们就捕获到了35个病毒样本。
截至11月13日,该病毒样本日均捕获量近6个,诈骗活动仍在持续。
文章图片8
文章图片9
远程服务器IP溯源
对远程服务器进行溯源分析,我们可以发现服务器大多分布在香港,并在后期扩散至韩国、日本、美国等国家和地区。通过将获取到的IP地址在WHOIS和VT等第三方数据源进行信息反查,得到如下表所示的结果。特别地,这些归属地只是诈骗分子利用的服务器所在地。
文章图片10
注:表中数据来自相关IP在whois.net及virustotal.com的查询结果
总结
通过对该病毒的详细分析,我们发现该病毒迄今已使用了6种不同形态的木马。除去最开始可能用作测试的一种,其它的按照结构、功能等指标大致可以分为四代。早期的木马基本不具备对抗行为,包括短信转发地址的电话号码和隐私数据上传的服务器IP等皆明文硬编码在程序中,较容易被分析追踪和查杀。到2015年9月1日,手机卡实名制正式开始实施,这意味着攻击者信息更容易被侦查。
就在同年10月,病毒新变种开始采取混淆等对抗手段隐藏攻击者信息,短信发送地址及短信内容等数据也转而通过从服务器下载获取。到2016年11月,病毒将窃取数据上传服务器的功能实现部分从Java层转移至SO动态链接库,攻击所需的资料更多是从远程服务器下载获取,攻击的危险性与不确定性都有所增强,在一定程度上增加了安全监测和逆向分析的难度。综合来看,该电信诈骗持续的周期较长(持续2年以上),攻击手段不断变换。我们可以推断犯罪分子可能为混迹在港台地区的诈骗组织,具有高度的组织化,其诈骗行为极端恶劣,需要引起足够重视。
另外,纵观至今的诈骗活动周期,高峰往往起始于每年年末(9~11月)并结束于次年年初(2月左右),说明年终岁末通常是电信诈骗的高发期。时值年关,广大手机用户务必当心,谨防受骗。
安全建议
针对这类恶意
湖南电信怎么老是掉线?
使用ADSL上网会经常遇到网页打不开、下载中断、或者在线视、音频流中断、qq掉线、游戏掉线等现象。 我们不妨假定楼主是使用ADSL上网。其实其他方式上网经常掉线的原因和下列原因大致相同。下面我们来分析一下ADSL掉线的原因。 一,线路问题 首先检查一下家里线路,看屋内接头是否接好,线路是否经过了什么干扰源,比如空调、冰箱、电视等,尽量与这些用电设备保持一定的距离。也可以自行把室内的线路使用抗干扰能力更强的网线代替。确保线路连接正确。电话线入户后连接接线盒,然后再到话音分离器分离,一线走电话、一线走MODEM(分离器上有标注)。同时确保线路通讯质量良好没有被干扰,没有连接其它会造成线路干扰的设备。并检查接线盒和水晶头有没有接触不良以及是否与其它电线串绕在一起。有条件最好用标准电话线,PC接ADSL Modem附带的双绞线。线路是影像上网的质量的重要因素之一。距离用户电缆线100米以内的无线电发射塔、电焊机、电车或高压电力变压器等信号干扰源,都能使用户下线接收杂波(铜包钢线屏蔽弱,接收信号能力强),对用户线引起强干扰。受干扰的信号往往是无屏蔽的下线部分进入,因为中继电缆有屏蔽层,干扰和影响都很小。如果在干扰大的地方用一些带屏蔽的下线,就会减少因干扰造成的速度不稳定或掉线现象。另外,电源线不可与adsl线路并行,以防发生串扰,导致adsl故障。另外其他也有很多因素造成网络不稳定,例如信号干扰、软件冲突。手机这一类辐射大的东西一定不要放在ADSL Modem的旁边,因为每隔几分钟手机会自动查找网络,这时强大的电磁波干扰足以造成ADSL Modem断流。 二,网卡问题 网卡一般都是PCI网卡或者板载网卡,选择得时候定要选择质量较好的,不然可能造成上网质量欠佳。10M或10M/100M自适应网卡都可。另外,许多机器共享上网,使用双网卡,这也是引起冲突同样值得关注,这时,应当拔起连接局域网或其它电脑的网卡,只用连接ADSL的网卡上网测试,如果故障恢复正常,再检查两块网卡有没有冲突。 三,ADSL MODEM或者网卡设置问题 现在MODEM一般具有2种工作模式,一种是使用拨号软件的正常模式,一种是自动拨号的路由模式。在正常模式工作下,不需要对MODEM进行设置,使用默认即可。而路由模式则需要进行设置,MODEM带有自己的闪存,可以将帐户、密码盒设置存入,进行开机自动拨号。此方法最常见的是设置错了ADSL Modem的IP地址,或是错误设置了DNS服务器。因为对于ADSL虚拟拨号的用户来说,是不需要设定IP地址的,自动分配即可。TCP/IP网关一般也不需要设置。但是设定DNS一定要设置正确,DNS地址可以从当地电信部门获得。另外,TCP/IP设置最容易引起不能浏览网页的情况,一般设置为自动获得IP地址,但是DNS一定要填写。其他采用默认即可 四,ADSL Modem同步异常问题 检查一下自己的电话线和ADSL连接的地方是否接触不良,或者是电话线出现了问题,质量不好的电话特别容易造成掉线,但是这样的问题又不好检查,所以务必使用质量较好的电话线。如果怀疑分离器坏或ADSL Modem坏,尝试不使用分离器而直接将外线接入ADSL Modem。分离器与ADSL Modem的连线不应该过长,否则不能同步。排除上述情况,只要重起ADSL Modem就可以解决同步问题。 五,操作系统,病毒问题 除了上面提到的线路状况外,还有电脑系统方面的问题。比如传奇杀手引起局域网掉线。该问题在全国均大面积发生,该病毒对主机代理和路由器代理的网吧(局域网)均会造成影响。 传奇杀手是一款对局域网进行ARP欺骗,虚拟网关地址,以收集局域网中传奇游戏登陆信息并进行分析从而得到用户信息的破坏性软件.工作流程:首先,将本机MAC通过arp欺骗广播至局域网,使局域网中的工作站误认为本机是网关.该流程会造成局域网与internet连接中断,使游戏与服务器断开链接.待用户重新启动游戏并进行帐号登陆时,帐户信息并不会直接通过网关上传到代理服务器,而是上传到正在进行arp欺骗的传奇杀手软件中.通过传奇杀手自身的解密手段,会获得该帐户的真实用户名及密码.从而达到窃取玩家帐号的目的.发作状况:局域网与internet链接速度突然变慢甚至断开.网络游戏断开链接,且重新登陆后提示服务器无相应。建议首先查杀病毒;如果有能力的话,重新安装系统;如机器使用有双网卡,卸载一块网卡;建议对于电脑不是很熟悉的用户不要随意安装各种防火墙软件,设置不正确会造成上网不稳定。有的操作系统可能对ADSL的相关组件存在兼容性问题,这样可以到微软对系统进行升级,或者修复系统。有条件可以进行重装。如果软件有冲突就尽量找出冲突软件,对其卸载或者其他方法解决。 六,防火墙,IE浏览器设置不对 ADSL 虽然受到黑客和病毒的攻击可能性较小,但也不排除可能性,特别是网页病毒和蠕虫病毒。病毒如果破坏了ADSL相关组件也会有发生断流现象。如果能确定受到病毒的破坏和攻击,还发生断流现象时就应该检查安装的防火墙、共享上网的代理服务器软件、上网加速软件等,停止运行这类软件后,再上网测试,看速度是否恢复正常。如果上网不稳定,可以尝试先关闭防火墙,测试稳定与否,在进行相应的设置。 另外防火墙引起或IE浏览器出现故障,也可导致可以正常连接,但不能打开网页。 七,静电问题 静电是影响ADSL的重要因素,而家中的电源一般都不接地线,再加上各种电器(如冰箱、电视)的干扰,很容易引起静电干扰,致使ADSL在使用中频繁掉线,请将三芯插座的接地端引出导线并良好接地,一般可以解决掉线问题。一般解决方法:增加接地线,解决掉线问题 。 八,软件冲突问题 ADSL接入Internet的方式有虚拟拨号和专线接入两种,现在个人用户的ADSL大都是虚拟拨号。而PPPOE(Point-to-Point Protocol over Ethernet以太网上的点对点协议)虚拟拨号软件都有各自的优缺点。经过多方在不同操作系统的测试,如果使用的操作系统是Windows XP,推荐用它自带PPPOE拨号软件,断流现象较少,稳定性也相对提高。如果使用的是Windows ME或9x,可以用以下几种虚拟拨号软件--EnterNet、WinPoET、RasPPPoE。其中,EnterNet是现在比较常用的一款,EnterNet 300适用于Windows 9x;EnterNet 500适用于Windows 2000/XP。当你用一个PPPOE拨号软件有问题时,不妨卸载这个软件后换用一个其它的PPPOE拨号软件,请务必注意不要同时装多个PPPOE软件,以免造成冲突。因为电话线上网是宽带接入的主要方式,而这样就必须设置一条虚拟通道,如果几种拨号软件混装就会引起冲突,造成网络及其不稳定。如果软件有冲突就尽量找出冲突软件,对其卸载或者其他方法解决。比如有的朋友BT下载会导致网络掉线。可能下载的时候占用过多的线程导致断线
满意请采纳
澳电信公司遭黑客攻击,近1000万用户信息或被泄露,是何人所为?
不清楚是谁所为,事情还在调查中。
澳洲电信公司遭黑客攻击,近1,000万用户的信息被泄露,但不知道是何人所为,因为这家电信公司遭到黑客攻击以后,没有受到任何的赎金要求,而警方和当地政府正在调查之中,还没有发现有效的线索,不知道是哪里的黑客对这个电信公司发起的攻击,更不知道这些黑客攻击电信公司的目的。
受到攻击的澳洲电信公司在境内有着众多的客户,他在所有的电信行业中考取第2位,根据相关负责人介绍,这次黑客攻击有1,000万的电信用户受到了影响,他们的敏感信息可能已经泄露。被黑客访问的相关数据,包括了这些客户的姓名,生日以及电话号码,还有部分身份证件号码,但相应的密码和银行卡的信息没有受到攻击也没有泄露。
这个电信公司至今不清楚黑客攻击自己公司的目的根本没有受到任何赎金和要求,虽然警方和当地政府已经介入调查,但也没有锁定犯罪组织,更不知道是哪国黑客发起的攻击。在这次黑客攻击发生以后,当地的消费者委员会已经发出了警告受到影响的客户可能面临身份被盗用的风险,一定要提高警惕,保护好自己的个人信息。
这个电信公司的客户应该把自己的银行和金融账户进行加密处理,而且要留意自己账户的异常变化,发现异常情况时要及时报警,接到陌生电话的时候,更要保持警惕,避免自己上当受骗,防止自己的财产和人身体安全受到威胁。而这个电信公司也应该做好防范,提高防火墙的等级,防止黑客再次侵入,避免客户信息无故泄露,防止产生无法预测的后果。
网友评论
最新评论
型:以样本7692A28896181845219DB5089CFBEC4D为例,该变种主要窃取用户的短信数据。它会设置接收器专门用于监听收到新消息的事件,一旦有来信则立即获取其发信方电话号码以及短信内容,并转发至指定号码。第二种类型:以样本4AD7843644D8731F51A8AC2F
挖掘到的一些短信转发地址以及远程服务器IP地址和端口号等信息,都是直接以明文形式硬编码在程序中的,很容易被反编译逆向分析,也难逃手机安全软件的查杀。第二阶段:平稳期(2015.3~2015.8)该阶段是诈骗的平稳期,或者也
电话线。如果怀疑分离器坏或ADSL Modem坏,尝试不使用分离器而直接将外线接入ADSL Modem。分离器与ADSL Modem的连线不应该过长,否则不能同步。排除上述情况,只要重起ADSL Modem就可以解决同步问题。 五,操作系统,病毒问题 除了上面提到的线路状况外,还有电脑系统方面
0/XP。当你用一个PPPOE拨号软件有问题时,不妨卸载这个软件后换用一个其它的PPPOE拨号软件,请务必注意不要同时装多个PPPOE软件,以免造成冲突。因为电话线上网是宽带接
卡,选择得时候定要选择质量较好的,不然可能造成上网质量欠佳。10M或10M/100M自适应网卡都可。另外,许多机器共享上网,使用双网卡,这也是引起冲突同样值得关注,这时,应当拔起连接局域网或其它电脑的网卡,只用连接ADSL的网卡上网测试,如果故障恢复正常,再检查两块网卡有没有冲突。