宋春

摘要：隨著移動(dòng)互聯(lián)網(wǎng)的普及，移動(dòng)安全問(wèn)題日益突出，針對(duì)手機(jī)的木馬病毒等軟件迅速發(fā)展，其中，短信攔截馬為互聯(lián)網(wǎng)傳播最為廣泛的一種手機(jī)木馬病毒。本文針對(duì)短信攔截馬主要功能進(jìn)行了簡(jiǎn)要的分析與研究，期望能對(duì)打擊此類(lèi)木馬病毒案件有所幫助。

關(guān)鍵詞：短信攔截馬；MainActivity；SMSservice；加固；反制

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）24-0020-02

隨著移動(dòng)互聯(lián)網(wǎng)的普及，移動(dòng)安全問(wèn)題日益突出，針對(duì)手機(jī)的木馬病毒等軟件迅速發(fā)展，利用手機(jī)木馬病毒進(jìn)行網(wǎng)絡(luò)犯罪的事件呈現(xiàn)爆發(fā)式增長(zhǎng)趨勢(shì)，手機(jī)用戶面臨前所未有的安全風(fēng)險(xiǎn)。其中，短信攔截馬作為一個(gè)功能簡(jiǎn)單、開(kāi)發(fā)成本低、獲利頗高的非法牟利手段，很快就成為互聯(lián)網(wǎng)傳播最為廣泛的一種手機(jī)木馬病毒。

1 短信攔截馬傳播過(guò)程

短信攔截馬，顧名思義是一種可以攔截受害者手機(jī)中短信內(nèi)容的木馬，并通過(guò)網(wǎng)絡(luò)秘密的將受害者手機(jī)中的短信內(nèi)容發(fā)送到攻擊者的手機(jī)或者郵箱中。

短信攔截馬的主要傳播過(guò)程如下：首先，攻擊者通過(guò)偽基站或者短信貓的方式定向發(fā)送社工欺詐短信；然后誘導(dǎo)用戶點(diǎn)擊欺騙短信中包含的短鏈接，當(dāng)用戶點(diǎn)擊惡意鏈接后，就會(huì)從遠(yuǎn)程服務(wù)器上下載安裝用于攔截用戶手機(jī)短信的短信攔截馬；當(dāng)用戶手機(jī)安裝此木馬程序后，該用戶手機(jī)就變成了一個(gè)“肉雞”，此時(shí)木馬程序就會(huì)在后臺(tái)默默地向攻擊者指定的郵箱中發(fā)送用戶手機(jī)上的所有短信息內(nèi)容。

2 短信攔截馬主要功能與分析

2.1短信攔截馬主要功能

短信攔截馬的主要功能如下圖1所示。經(jīng)分析可見(jiàn)，一般的短信攔截馬及其“變種”大都提供了以下幾種基本功能：

1）激活設(shè)備管理器防止被用戶正常卸載；2）禁用MainActivity組件隱藏圖標(biāo)；3）短信通知攻擊者中招肉雞已上線；4）異步郵件發(fā)送受害者通訊錄以及短信記錄；5）啟動(dòng)后臺(tái)服務(wù)進(jìn)程實(shí)時(shí)監(jiān)控用戶短信和系統(tǒng)行為。

2.2具體的短信攔截馬簡(jiǎn)要分析

短信攔截馬通常偽裝成中國(guó)移動(dòng)10086掌上營(yíng)業(yè)廳、聚會(huì)相冊(cè)、車(chē)輛違章、校訊通等手機(jī)APP客戶端方式誘導(dǎo)用戶安裝。

下面以一個(gè)具體的校訊通短信攔截馬為例，具體分析一下該類(lèi)木馬的主要功能。首先，利用APKKiller逆向分析查看“校訊通.apk”的總體結(jié)構(gòu)，經(jīng)過(guò)反編譯后的短信攔截馬程序，主體結(jié)構(gòu)由META-INT文件夾下的簽名文件，res資源文件夾下各類(lèi)資源，smali代碼，以及配置文件AdroidManifest.xml等組成。

根據(jù)配置文件AdroidManifest.xml，發(fā)現(xiàn)校訊通短信攔截馬主要申請(qǐng)了短信收發(fā)、讀取聯(lián)系人、開(kāi)機(jī)自啟動(dòng)、聯(lián)接互聯(lián)網(wǎng)等權(quán)限。由這些權(quán)限，基本可以判定這是一款典型的短信攔截馬，因?yàn)榇祟?lèi)短信攔截馬及其變種基本上都需要申請(qǐng)這些權(quán)限。

接著，繼續(xù)分析短信攔截馬的主入口點(diǎn)MainActivity，由圖2可以看出，此攔截馬程序主要包含兩個(gè)Activity，一個(gè)程序的主入口點(diǎn)MainActivity，另一個(gè)DeleteActivity。 MainActivity的主要功能有： 1）禁用MainActivity組件隱藏圖標(biāo)；2）激活設(shè)備管理器防止被用戶正常卸載；3）短信通知木馬使用者肉雞已上線；4）異步郵件發(fā)送受害者通訊錄以及短信記錄；5）啟動(dòng)后臺(tái)服務(wù)進(jìn)程實(shí)時(shí)監(jiān)控用戶短信和系統(tǒng)行為。

下面，進(jìn)一步分析此短信攔截馬的Service，校訊通短信攔截馬共包含有3個(gè)Sevice， BootService、SecondService、SmsService。其中BootService和SecondService的主要功能是：（1）為了保持短信攔截馬程序的兼容性，該攔截馬同時(shí)注冊(cè)了短信廣播接收器和觀察者模式，如下圖3所示；（2）被Destory后重新自啟動(dòng)。

其中，SmsService的主要作用是木馬使用者通過(guò)發(fā)送遠(yuǎn)程控制命令（ALL，SOME和NO命令）來(lái)控制受害者手機(jī)是否或者部分轉(zhuǎn)發(fā)短信內(nèi)容的功能，另外還可實(shí)現(xiàn)攔截馬到期時(shí)間查詢（命令TIME），以及獲取受害者設(shè)備信息等功能。此外，SmsService還實(shí)現(xiàn)了短信息收發(fā)服務(wù)功能。

3 對(duì)短信攔截馬加固后的反制

木馬制作者為了逃避公安機(jī)關(guān)的打擊，許多新型的短信攔截馬往往通過(guò)多種措施來(lái)對(duì)木馬進(jìn)行加固處理。

1）通過(guò)加殼方式加固

木馬編寫(xiě)者為了對(duì)抗反編譯技術(shù)，通常對(duì)木馬進(jìn)行加殼處理。加殼的基本原理就是在對(duì)源APK程序進(jìn)行加密，然后再套上一層殼即可。由此可知，對(duì)Android的apk木馬程序進(jìn)行加殼處理，需要三個(gè)對(duì)象（1）需要加密的源apk木馬程序；（2）殼apk程序；（3）對(duì)源apk進(jìn)行加密的加密工具。

對(duì)apk木馬程序進(jìn)行加殼的主要過(guò)程為：首先通過(guò)加密算法對(duì)源apk進(jìn)行加密處理，再將殼程序apk與加密后源apk程序進(jìn)行合并得到新的apk程序。此時(shí)得到的apk程序已經(jīng)不是嚴(yán)格意義上的apk程序了，它多了一些功能，負(fù)責(zé)解密源apk程序，然后加載apk，讓其正常運(yùn)行起來(lái)。目前，市面上比較流行的加殼工具有APKProtect加殼工具。

那么如何對(duì)加殼的apk木馬程序進(jìn)行反編譯。對(duì)于常見(jiàn)的加殼方式， JEB或者APKKiller反編譯工具，一般會(huì)自動(dòng)檢測(cè)出加殼工具，并自動(dòng)進(jìn)行脫殼處理。而對(duì)于使用動(dòng)態(tài)鏈接庫(kù)對(duì)apk程序進(jìn)行加殼的情況，例如使用libcore.so動(dòng)態(tài)連接庫(kù)對(duì)apk程序進(jìn)行加殼處理后。此時(shí)脫殼處理就比較麻煩，往往需要使用IDAPro進(jìn)行反匯編，逐行分析源代碼，再?gòu)闹姓页隹梢傻泥]箱帳號(hào)和密碼。

2）通過(guò)加密方式加固

木馬編寫(xiě)者除了使用加殼程序?qū)υ碼pk程序進(jìn)行加固外，往往木馬編寫(xiě)者還會(huì)對(duì)木馬中的敏感數(shù)據(jù)進(jìn)一步進(jìn)行加密處理。常見(jiàn)的加密方式有利用DES、AES等算法對(duì)攔截馬中的回傳郵箱帳號(hào)與密碼，以及通知木馬使用者肉雞上線的手機(jī)號(hào)碼進(jìn)行加密處理。

當(dāng)遇到此類(lèi)加密后的敏感字符串時(shí)，通常的處理方式是先查找到解密算法類(lèi)，而后通過(guò)交叉引用查看哪些類(lèi)調(diào)用了這些解密算法類(lèi)；通常，那些調(diào)用了解密算法類(lèi)的類(lèi)中基本都會(huì)向解密算法類(lèi)傳遞解密密鑰，如圖4所示；當(dāng)有了解密密鑰，就可以利用網(wǎng)上的解密工具對(duì)攔截馬中加密的敏感字符串進(jìn)行解密了。

4 總結(jié)

通過(guò)以上分析我們基本了解了短信攔截馬的技術(shù)原理及實(shí)現(xiàn)方式。由于短信攔截馬制作簡(jiǎn)單，不斷的產(chǎn)生變種，然后在社會(huì)廣泛傳播，使廣大群眾深受其害。在此，真切期望廣大用戶能夠?qū)?lái)歷不明的短信提高警惕，不要隨便點(diǎn)擊，以便在最大程度上避免自己的隱私和財(cái)產(chǎn)受到此類(lèi)木馬病毒詐騙的威脅。

參考文獻(xiàn)：

[1] 李維強(qiáng).電信詐騙犯罪的規(guī)律特點(diǎn)及治理對(duì)策問(wèn)題研究[D]. 蘭州大學(xué)，2012 .

[2] 戴剛，郝俊華，李少華. 垃圾短信實(shí)時(shí)攔截系統(tǒng)建設(shè)研究與探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（11）.

[3] 王明. 基于實(shí)時(shí)流技術(shù)的詐騙短信預(yù)警系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件，2015（1）.

[4] 宮路，潘超. 手機(jī)短信詐騙犯罪偵查研究[J].廣州市公安管理干部學(xué)院學(xué)報(bào)，2009（01） .