小心，银行短信也有假！伪基站钓鱼短信攻击分析

2015-07-02 16:57 原创 何楚

银行短信也有假！这是一次我亲历的钓鱼短信攻击，攻击者使用伪基站伪装成银行的短信服务号发送通知短信，因此具有极强的迷惑性，普通用户根本无法分辨。现记录下攻击方式，并进行简单分析，便于大家提高甄别信息真伪的水平，避免更多的人受到财产损失：

缘由

昨天真的是美好的一天，广州风和日丽，阳光灿烂。又加上闰秒来临，早晨可以多睡一会儿，或者可以晚一点上班——虽然只有那么一秒的时间，但这便宜来的不费吹灰之力，绝对是白捡的。

想到这里，就心情大好。

就在上班途中，我忽然收到一条发自95555的通知短信。打开一看，是一条来自银行短信中心的积分兑换提醒。如图：

图中有三条短信，前两条都是6月30日本人取款时候的正常业务通知，最后一条是刚收到的。乍看之下，没啥问题，但是，隐约觉得短信内容有那么一点点奇怪，对于一个细节敏感的强迫症来说，不寻常，列出疑点如下：

1、地址是山寨的，这个最容易分辨。但是，还是很像啊！

2、标点符号的全角半角混用，不像严谨的专业人士所为。

3、我的积分早被老婆用光啦，还用等着清零？

除此之外，这条短信迷惑性超高！刚看到的一瞬间甚至让我恍惚回忆了一下我的积分情况。对于英文不好排斥看网址的客户，这个短信简直具有绝对的杀伤力。特别地，最容易让人产生信任感的是短信的发送方：95555，有些手机自带的地址簿软件甚至都自动给这个号码配上了图标，比如我的：

分析

顺手把短信截图发给群里的朋友们看，然后开始研究。有朋友回复：“会不会是号码比较像，被手机错误归类了”。

——呃，简直是黑我大华为的短信归档程序！

怎么可能？

好吧，我看看。

比较之下，几条关键区别：

• 首先确认这两条都是短信，两条信息的源地址都是95555。

• 新短信没有服务中心（SMSC），真实短信的服务中心号码为：+8613800200571（属浙江移动）。

• 新短信的发送时间是2009年，真实短信的发送时间是昨天业务办理时。

短消息点对点协议（CMPP，SMPP）中，对短信生命周期的约定是最长48小时。另外，手机接收到的短信息，都会显示发送者的短信中心（SMSC）。

基于对短信通讯协议的理解，马上可以断定：新来的短信不是来自正常的移动网络——而是移动伪基站！

——即使，发送地址是95555。

头一回！

从没碰到过！

追查

由于今天闰了一秒，我又没有睡懒觉，所以有机会比之前更早到公司。又所以有多出来那么一点点时间，可以研究一下这个钓鱼短信。

点开伪基站发送的钓鱼网站地址，会打开一个山寨的银行网页，不那么像，不过还凑合。网页会逐步引导用户填写资料，当然，我机智的填写了隔壁邻居的信息。网页最后一步，是让下载一个“招行积分”APP，点任何链接都是下载这个APP。当然——它也是山寨的。如图：

按照提示，在填写了一些个人信息后下载了这个安卓手机程序，安装到了我的——当然是虚拟机中，APP安装后会显示在桌面应用列表，但运行一次或者重启后就消失掉了。实际APP隐藏了桌面图标，作为一个服务潜伏了下来。手动进入已经安装的应用列表，还是能够看到被安装的APP。

这个APP申请了一堆高危权限，例如：开机自动启动、收发短信、完全的网络访问、获取位置、拍摄照片和视频。而这其中危害最大的，就是发送和接收短信的权限。

由于很久不做安卓开发，公司电脑虚拟机相关可玩的东西不多，所以截图之后开始做逆向静态分析，分析过程、方法和细节略过（上班期间，时间较少，请高手指正，BOSS看到本文请…无视），只讲结论。

这个APP安装到手机后具有较大的危害性，表现如下：

• APP会向一个深圳的手机号码15816857541发送短信报到（报告中招手机号）。从此中招手机变为受控制的肉鸡。这月短信费增加是确定无疑的了。

• 受害手机的短信记录不会保存那些控制指令，所以机主感知不到。

• 控制者可以用任意手机号向受害手机发送控制指令。

• 平常APP处于潜伏状态，当收到特定短信后，开始启动并作恶。

• 控制者尝试偷取受害手机里的X.509证书文件！OMG！

• APP尝试阻止被卸载并欺骗用户卸载成功。

上图可见手机号码：15816857541。APP被安装后，自动向这个号码报告情况。（——深圳移动能看到这个文章不，可以O2O报案不？）

这…… 是一个专门针对手机网银的木马APP程序，偷取网银X.509证书直接让我ORZ了（发送代扣费指令已经过时）。上网搜索了一下，它的同门兄弟（或者变种）一个建行木马在2013年就被人发现并分析过。看来是源码又被卖给了新入行的小兄弟，小兄弟改了一下准备开创一份轰轰烈烈的事业，并希望藉此谱写一篇行业新传奇走向人生巅峰，然后陷入囫囵。呃……

 总结

整个钓鱼网站和木马程序实际跟以往没有太多的新意，但整体的这次钓鱼攻击，还是有2个亮点：

1、伪基站的引入。伪基站伪造官方短信号码迷惑性太强，普通人无法分辨。杀伤力直接5分！

2、APP窃取本地证书。窃取本地证书的目的直指网银，用户资金安全堪忧。不过网银认证比较复杂，攻击者又需要账号等信息才能成功盗窃。给4分。

防范

短信贴图发到朋友圈后，有技术小白朋友问如何防范此类伪基站钓鱼信息。

几点防范意见供参考：

1、不要贪。中奖类的消息轮不到咱普通老百姓的，看审计署审计福彩的结果就该明白。

2、不要怕。钓鱼攻击信息常危言耸听，认真甄别马上就现原形了。

3、认清正规网站的地址，不安装来历不明的app，不在不明网站输入账号密码。

4、水果机一般没有这些木马app，不过水果机在钓鱼网站输入密码的时候，是一样顺畅的。

5、所以无论什么手机，都要提高防范意识。

原文地址：http://www.leiphone.com/news/201507/QCu2pswepnERMjOv.html