手机木马分析工具(关于手机木马黑产的波谲云诡)(1)

大家好,我是鹅师傅。

近期,国内某知名手机品牌被爆出通过和其他的公司合作的方式,将木马程序植入到旗下2000多万台手机中,进行“拉活”业务28.84亿多次,获利超过2700万元。

手机木马分析工具(关于手机木马黑产的波谲云诡)(2)

一直以来,木马都隐藏在黑暗的深处,像这样明目张胆的“官方木马”还真不多见。今天,鹅师傅就来跟大家聊聊关于木马的故事。

1

木马的故事

“木马”这个名字来源于希腊神话的《木马屠城记》,英文是“Trojanhorse”,翻译过来就是特洛伊木马。

传说古希腊有次围攻特洛伊城,但却花了很长时间都没办法攻下。于是有人就献计做一只大木马,让士兵藏在木马里,军队假装撤退并把木马遗弃在特洛伊城下。城里的士兵以为自己战退敌军,并把“木马”作为战利品拖到城内。当夜里,全城的军民放松警惕时,藏在木马里的士兵打开秘门游绳而下,大开城门让城外潜伏的军队乘虚而入,最后成功攻下特洛伊城。

手机木马分析工具(关于手机木马黑产的波谲云诡)(3)

(图片来源网络)

而现在黑客程序也借用“木马”这个名字,以表达这类程序“一经潜入,后患无穷”的意思。

在过去的PC时代里,鹅师傅最糟心的就是在各类杀毒软件中发现Trojan,简直不堪回首。

那木马和病毒是一回事吗?

不是。很多人一听到“木马”就很自然地跟病毒联系起来,但实际上木马并不能称为“病毒”。

“木马”本质上是一种远程管理工具,跟我们平时用的远程控制软件有些相似,但是一般来说,远程控制软件属于“善意”且可视的控制,而“木马”往往都是偷偷地远程控制,具有很强的隐蔽性。被控制的机器往往被成为“肉鸡”。一旦被不法分子利用上,破坏力有时候比病毒还要可怕!

简单来说,木马更像是“潜伏者”,往往在暗处偷偷作恶。而病毒则是“暴徒”,正面硬刚,破坏性大,情绪还能相互传染。

手机木马分析工具(关于手机木马黑产的波谲云诡)(4)

(木马和病毒的区别)

木马技术的发展可以说非常迅速,30多年的时间里就已经进行了6代的更迭。

6代木马的区分。

最原始的木马是以简单的窃取密码为主,这也是第一代木马的特点。第二代木马在技术层面取得了很大的进步,冰河就是其中典型的代表(鹅师傅当年的网红工具)。到了第三代木马就开始对数据传递技术方面进行了改进,并且增加了杀毒软件的识别难度。

第四和第五代木马更主要的是对木马程序的隐蔽性进行了更新,第四代采用的是内核插入式的嵌入方式,而第五代采用的是驱动级木马,两者都很难被查杀到。

随着身份认证和杀毒软件主动防御的兴起,第六代木马以黏虫技术和特殊反显技术为主来盗取、篡改用户敏感信息以及用动态口令和硬证书作为攻击手段。

“暗云“系列的木马病毒可以说是近年来最复杂的木马之一,它可以使用多种复杂技术潜伏于用户电脑中,而且还会通过不断变种升级,对广大用户造成严重的安全影响。

当然了,随着手机等智能设备的普及,木马程序早已不只是存在于电脑里了......

2

一个典型手机木马的诈骗场景

手机木马通常会伪装成合法软件,偷偷地在后台获取你的个人信息(包括密码账号、通讯秘密、位置信息等)、盗窃财物、监听摄像头和麦克风、获取定位、安装推广应用赚钱、手机挖矿......

手机木马分析工具(关于手机木马黑产的波谲云诡)(5)

(典型木马作恶情景示例)

举个栗子,一个经典的木马诈骗场景,主要分为以下五个步骤:

  • 短信链接
  • 运行木马
  • 监控手机
  • 获取信息
  • 盗窃财物
  • 1、短信链接

    不法分子会利用伪基站来批量地发送含有木马链接的短信到我们的手机上,类似于最近很火的新冠疫苗预约诈骗短信。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(6)

    没错,骗子总能紧跟时事热点,把骗术与时俱进地翻新。

    2、安装木马

    当你收到这类带有钓鱼链接的短信后,一旦点击进去,这些网站通常会诱导你去下载某个软件,或者是点击链接后直接进行下载。

    一般情况下,手机系统会询问你是否要下载这个应用软件,如果你点了“否”,那么下载就会被终止,木马程序也不会植入到手机里。

    但如果你没有拒绝,真的把这个含有木马程序的软件下载并安装到手机里,那么你就在骗子的引导下,完成了引狼入室的环节。

    3、监控手机

    当你手机被木马程序入侵后,入侵者会在你不知道的情况下,监控着你在手机上的一举一动,甚至可以秘密打开手机的麦克风和摄像头来进行远程监听、录像、拍照等功能。

    4、获取信息

    一部手机从被入侵的那一刻起,手机里的所有个人信息,包括短信、照片、通讯记录、聊天记录、移动支付信息等,都有可能被犯罪团伙窃取。

    2019年,江苏南京警方在“净网2019”行动中,就曾侦破一起用手机软件窃取个人隐私信息的案件。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(7)

    由于不法分子通过技术手段把软件的图标隐藏了起来,一旦安装了这款软件,受害者是很难察觉的,而且手机里的实时位置信息、聊天内容、通话记录、短信等等都可以实时传送到不法分子的手机中。

    5、盗窃财物

    对于不法分子来说,监控和盗取信息只是过程,谋财才是最终目的。

    2017年,温州警方发现一起利用木马程序盗刷银行卡的案件。不法分子通过短信信息诱导手机用户下载一款名为“和校园”的软件(实际上是木马程序)。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(8)

    这款软件安装之后,不法分子通过拦截受害者的银行短信、验证码等信息,对受害者银行账户里的资金进行转移。由于无法收到通知信息,当受害者发现的时候已经损失了大量钱财。

    那安卓系统和IOS系统,到底哪个风险更高?

    IOS系统(此处并没有广告费)。对于手机木马而言,IOS系统的手机要比Android系统更为安全一点。

    由于安卓系统的开源性,各大软件厂商可以在这里“百花齐放”,这也导致了其系统的安全性更为脆弱。而IOS系统处于一个相对封闭的环境中,对于外来的不知名软件一般是无法安装的,所有软件都必须通过官方的应用商城下载,这在一定程度上保证了系统的安全性。

    但所有的安全都是相对的,即使是封闭的IOS也不能保证绝对的安全。

    总之,别打开来历不明的链接,别下载来历不明的软件,才能最大程度地保障你的手机安全。

    3

    手机木马的常见问题

    手机木马其实一直都有存在,从钓鱼链接到恶意软件再到硬件层面上的木马程序,它的隐蔽性和攻击性也在不断升级。

    几个大家关心的问题:

    打开网页、扫描二维码到底会不会感染木马?

    打开来路不明的app就一定会感染木马吗?

    手机会感染其他系统的木马吗?

    除了手机,智能手表、充电宝等也可能感染木马?

    ……

    下面鹅师傅来回答下,并讲讲目前手机木马的几个真实情况。

    1、打开网页、扫描二维码到底会不会感染木马?

    随着二维码的普及,木马程序不仅仅以链接的形式出现,有时候也会以二维码的形式登场。

    其实二维码的本质就是链接,如果只是打开链接或是扫描二维码,几乎不可能感染到木马,因为网络上的信息或js脚本是无法获取手机权限。

    一般来说,钓鱼链接是用来诱导你填写你的个人信息或者下载某个含有木马病毒的软件,并不会直接让你手机感染到木马病毒,除非你点击链接后进行了其他后续操作。

    2、打开来路不明的app就一定会感染木马吗?

    当你下载并安装了来路不明的APP,有一定概率会感染到木马。

    要知道,APP是可以获取我们手机权限的,而大部分受害者因为没注意到那个木马软件涉及的隐私权限授权就直接进行安装导致手机系统的“沦陷”。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(9)

    比如,前几年一款名为“法老木马”的手机病毒,它通过伪装成“附近号码”等APP查询工具,表面上为用户提供查询手机号码、车牌号码等服务,实质上偷偷自动下载Root工具,获取手机系统的最高权限。黑客通过这个手机木马病毒可以远程控制手机随意下载各种软件,窃取用户存储在手机的重要隐私等等。

    3、手机会感染其他系统的木马吗?

    木马本质上是一种远程管理软件,而且它有特定的针对性。就像Windows系统的软件无法直接在IOS系统上安装一样,针对Windows系统编写的木马不会感染手机,IOS手机里木马也不会感染到安卓手机。所以,手机木马都会有专门的系统针对性。

    4、除了手机,智能手表、充电宝等硬件也可能感染木马?

    智能硬件,是感染木马病毒的重灾区。而手机木马是目前最普遍存在的一种情况。

    例如,有些SDK被不法分子制作内嵌了木马,在应用开发者不知情的情况下,通过他们所开发的正规应用,偷偷潜入用户的手机,大量地刷广告曝光量和点击量,赚取巨额广告费用。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(10)

    还有,像某品牌手机被曝出的“木马拉活”行为让用户莫名地会弹出不明的广告或者默默下载了一些自己不想下载的app,对用户来说虽然造成真实的损失比较少,但还是增加了一些麻烦。

    手机之外的其他木马们。

    相较之下,另外几种植入木马的行为就更为恶心。有些老年机的厂商,将带有木马程序的移植包植入到手机主板中,一旦老年手机中插入电话卡,木马程序就能获取手机号码等信息,还能自动拦截验证码,传输至后台数据库。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(11)

    而这些通过非法手段获取到的手机号码和验证码会被卖给黑产下游,用来注册各类网络账户进行“薅羊毛”、刷量等。

    除了老年机,黑产们已经开始“进军”共享充电宝、儿童电话手表等设备。

    近日,公安部网安局发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,很可能就会盗取个人信息。

    手机木马分析工具(关于手机木马黑产的波谲云诡)(12)

    4

    木马们该当何罪!

    鹅师傅对近年来有关“手机木马”的案件进行统计和分析,实践中常见的罪名有:

    手机木马分析工具(关于手机木马黑产的波谲云诡)(13)

    对于上游制作木马向他人提供的行为人来说,木马具有避开或者突破安全保护措施,未经授权获取数据、实施控制的功能,属于专门用于侵入、非法控制计算机信息系统的程序、工具,一般并不具备正常的使用场景,只能是用于非法用途,因而提供木马的行为无疑构成提供侵入、非法控制计算机信息系统程序、工具罪。

    对于使用木马作恶的中游黑产分子,根据其行为方式的不同,往往构成不同的罪名。木马通常是为了控制对方手机或获取其中的数据,可能构成非法获取计算机信息系统数据、非法控制计算机信息系统罪,但同时也可能构成破坏计算机信息系统罪。对于这一行为的两罪区分,近日最高院发布的第145号指导案例“张竣杰等非法控制计算机信息系统案”给出了参考,两罪区分的关键在于是否对该信息系统内有价值的数据进行增加、删改,是否造成信息系统功能实质性的破坏或不能正常运行。若是,则构成破坏计算机信息系统罪;若否,则应认定为非法控制计算机信息系统罪等罪名。

    同时,利用木马获取的手机数据也有可能是涉及公民个人信息,属于非法获取公民个人信息,属于一行为同时触犯两罪名,同时成立侵犯公民个人信息罪。

    而对于下游的黑产分子,费尽心思植入木马,获取信息,最终目的往往都是为了获取财物。如通过木马获取他人信用卡信息资料进而使用的,构成信用卡诈骗罪,通过木马盗取他人的电子账户中财物的,则涉嫌构成盗窃罪。

    关于木马,你还有什么想告诉鹅师傅的,欢迎留言分享!

    手机木马分析工具(关于手机木马黑产的波谲云诡)(14)

    来源: 腾讯安全战略研究

    责任编辑:蓝色海

    ,