FakeTaobao家族变种演变(二)

FakeTaobao家族变种演变(二)

作者:张昊

今年央视315晚会上曝光了”10086积分兑换”电信诈骗全过程,详解了不法分子通过伪基站等方式伪装成运营商号码群发诈骗钓鱼短信,钓鱼网站诱导用户下载安装木马软件,致使用户中招。这类木马正是360互联网安全中心去年9月曝光过的FakeTaobao家族[1],我们一直以来持续关注这个家族的演变过程。而发展到现在,该家族样本数量每月激增,如此庞大的样本量,说明其中必然是有利索图,根据我们所掌握的情况,绘制出如下黑色利益链条。

image1

 

一、统计数据

样本总量

通过360互联网安全中心数据统计,我们发现继去年9月份以后,短短半年时间,该家族月增样本数量猛增,已从3万多激增到接近13

image2

购马人地域分布特点

FakeTaobao木马家族的一大特点是安装后会通过短信来向控制端手机号码进行报活,告诉购马人已有受害者上钩,360互联网安全中心对这些控制端号码进行了分析,得出了购马人的地理分布。

image3

从图中可以看出广东广西上海占据前三位,占据了总量一半以上,我们对地区按照地级城市细化,发现广西南宁的购马人居首,上海广东深圳次之。

image4

我们从该家族样本中提取手机号码,发现同一控制号码最多涉及到408个恶意样本,表明针对安全厂商的查杀,木马作者在出售给同一个购马人的时候不断与安全厂商进行免杀对抗,导致恶意样本代码变化速度更快。

image5

购马人所用号码段分布图

通过我们统计,发现131130132是购马人最喜欢用的号码段,而最新推出的176177号段,甚至虚拟运营商的170专属号段,也都被购马人当做控制号码。

image6

木马作者地域分布特点

我们从大数据分析得出木马作者的地理分布,从图中可以看出广西成为木马制作主要窝点。

image7

再对木马作者进行地级城市细化,可以看到广西南宁仍然高居首位。与购马人数对比,可以看到广西南宁的购马人和木马作者数量基本相同,很可能是自产自销

image8

 

二、对抗演变

在我们之前曝光的家族变种的样本中,得知该家族通常有三种方式将用户手机短信等隐私信息盗走。

  • 通过短信转发方式,直接发送给控制端手机
  • 通过邮件方式,发送到指定的邮箱
  • 通过WEB方式,上传到木马作者自己的服务器。

三种方式有个共同的缺点,通过手机号码、邮箱地址、服务器地址查询追踪,极易容易暴露木马作者自身信息。近期,360互联网安全中心QVM人工智能引擎又捕获到了数例FakeTaobao家族的最新变种,相比历史版本,新的变种通过利用第三方平台作为跳板,购马人可以有效的隐藏自己的真实身份,从而逃避追踪。

 

  1. 利用部分社交网站注册审核不严逃避追踪

首先,样本使用E4A语言[2]编写,窃取用户短信、联系人信息及通话记录上传到远程服务器。中文编程开发代价低,依赖特征的传统杀软很难识别。

image9

随后,我们在跟踪https://wuzhi.me 这个服务器网址过程中发现这其实是一个第三方社交平台网站,主要功能是网络日记本。

image10

通过木马作者内置在代码中的用户名和密码登陆进去后发现,木马盗取的用户信息通过写日志的形式记录在其注册的账号日记里,同时可以设置日记的阅读权限。

image11

我们在追踪该账号归属人时发现,虽然这个网站需要注册,但是其注册邮箱没有经过严格的校验及相应的激活确认操作,导致只要模仿邮箱地址格式填写任意内容,就都能注册成功。

image12

至此,无法根据注册邮箱继续追踪不法分子,到达隐藏自己逃避追踪的目的。

除此网站外,我们还发现了其他两个被利用的相似网站

www.telnote.cn 生活日记网

www.libdiary.com 唯记生活

 

  1. 通过攻陷第三方网站逃避追踪

在另一个样本中我们发现,其通过Socket传输用户手机隐私数据到125.64.16.106,这个IP地址下我们发现存在java.exe、及部分Java代码

image13

image14

Java代码主要功能是创建Socket端口号接收回传的隐私信息,从代码的注释可以看出40001端口为上线报活端口,40002端口为收件箱隐私数据回传端口,40003端口为通讯录隐私数据回传端口。

image15

该服务器3389号端口开启可以使用远程桌面进行连接,黑客通过远程执行命令,利用java.exe远程编译运行Phone.java、server.java和servershoujian.java文件开启后门端口连接。

image16

黑客通过/666666/dataip/目录下的.txt文件下发指令。

image18

shoujianxiang“窃取用户收件箱隐私信息,tongxunlu” 窃取用户通讯录隐私信息,保存在/666666/dataip/目录下datashoujianxiang.txt和datatongxunlu.txt文件中。

我们通过这个IP反查域名,得到这个IP对应的域名如下,猜测可能是黑客攻陷了第三方网站,将其作为跳板,自身避免被跟踪发现。

19

另外,我们从相似的样本中提取了一些可疑IP,这些IP同样可能也是被黑客攻陷后作为回传隐私信息的中转站。

104.156.238.57

118.123.11.175

113.195.174.175

1.199.118.99

123.249.83.11

171.13.154.67

103.42.183.58

 

三、小结

         近期我们接到的不少用户举报中发现,该家族除了窃取短信验证码外,对用户手机联系人也会进行了筛选,一些备注为董事长、经理、局长等高职位的联系人更容易成为攻击对象。因为利用这些人进行传播,欺骗性会更强,许多用户会放松警觉,更易中招。FakeTaobao家族不论是从样本量还是对抗手段都与去年相比都有了较大的变化,隐私回传的手法也变得多种多样。360互联网安全中心提醒用户,提高警惕不要轻易安装未知来源软件,同时安装安全软件定期检测和查杀。

 

参考链接:

[1]FakeTaobao家族变种演变

http://blogs.360.cn/360mobile/2014/09/16/analysis_of_faketaobao_family/

[2] 制作成本降低,木马作者盯上中文编程

http://blogs.360.cn/360mobile/2014/10/28/e4a/

2 thoughts on “FakeTaobao家族变种演变(二)

  1. 感谢提醒,该账号滥用吾志日记功能,现在已经被关闭。

    我们会加强数据来源的安全性检测,避免类似的情况再次发生。

    — 吾志

    1. 感谢您的回复!的确该账号已经被注销了,但毕竟这只是其中一个个案,我们希望能够通过更多的技术手段杜绝,例如在账号注册是能够更加严谨,或者采用IP验证的方式,多次不同地区登陆时再做校验提示等,杜绝这种随意滥注册用于不发用途的情况发生。

发表评论

电子邮件地址不会被公开。 必填项已用*标注