网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。

近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接,下载安装恶意程序以此来获得受害者手机的控制权。然后诈骗者要求受害者主动拨打110报警,然后安装在受害人手机中的恶意程序将原本拨打给110的电话,劫持之后转为拨打诈骗者的号码,从而让受害者信以为真,落入了诈骗者精心布下的圈套。接下来,恶意程序获取各种短信特别是验证码信息,实现转账,消费,造成受害者财产损失。目前360手机卫士已对该类木马变种全面查杀。

一、电话号码劫持原理

该类样本使用的是Android拨打电话前,可以对拨打的号码进行处理的特性。具体是Android在拨打电话时会发送action为android.intent.action.NEW_OUTGOING_CALL的广播,该广播由系统发出,不能被终止,但可以使用BroadcastReceiver接受并处理该广播。常用于VoIP网络电话中,对号码进行添加前辍的处理。

二、网络电信诈骗的骗术

1. 构造虚假“最高人民检察院”

当恶意程序被成功安装到受害者手机中时,其会显示一个名为的“最高人民检察院”的虚假电子凭证,上面显示受害者涉嫌犯罪需要接受调查。受害者由于害怕,往往会选择直接相信诈骗者。部分防范意识稍微高一点的受害者,会选择拨打110报警。有时诈骗者为了让受害者信以为真,甚至会直接告诉受害者让其110报警。

image2

[1.1]虚假的“最高人民检察院”电子凭证

2. 劫持报警号码

当受害者真的拨打110报警电话时,恶意软件将受害者拨出去的110号码修改成诈骗电话,诈骗电话那头的诈骗者继续说受害者涉嫌犯罪,从而让受害者彻底放松警惕,信以为真。

image3

[1.2]劫持电话号码的恶意代码

3. 绕过安全软件的实际效果及影响

通过我们测试发现,目前国内诸多具备号码标识,骚扰拦截功能的产品大多被绕过。不能及时的标识出诈骗电话号码,甚至提供错误的提示。

image4

[1.3]绕过安全软件号码标识测试效果图

三、防范及解决方案

1. 安装最新版360手机卫士即可对木马进行查杀

当检测到用户拨打的电话被篡改时,360手机卫士会主动挂断电话,并以弹出窗口的方式提示用户所拨打的号码已被恶意篡改。

在弹出的窗口中用户点击立即处理后跳转至手机杀毒的病毒扫描功能,进而转入病毒查杀流程。

image5

[1.4]360手机卫士防恶意劫持功能

2、不点击来源不明的链接

3、从正规渠道下载应用程序

四、引用

[[1]]《深入分析跨平台网络电信诈骗》

深入分析跨平台网络电信诈骗