反诈骗之旅-仿冒公安政务

近期，暗影移动安全实验室在日常监测中，发现了一批冒充“公安部”、“网上安全认证”、“公安局智能警务系统”等应用程序名称的诈骗类APP，研究人员分析发现，这批诈骗APP的目的是窃取用户个人信息（银行卡号、身份证末尾4位、认证卡号、安全码、卡背后3位、交易密码、手机号码、通讯录、短信等），然后上传至VPS服务器，涉及银行卡类型多达33种，VPS服务器主要分布在英国、加拿大、新加坡、荷兰，该类恶意程序危害极高，影响极其恶劣。

图1 诈骗APP运行界面

诈骗团伙：你是**吗？我是公安局的王警官，我们最近在调查一起跨国洗钱案件，发现你的账户疑似涉入其中。

受害者：你们是不是搞错了…

诈骗团伙：不会有错的，你已经上通缉令了，你可以下载“公安局智能警务系统”查看，稍后通过短信发送与你。

受害者：多谢警官，我一定好好配合。

诈骗团伙：你现在“公安局智能警务系统”填写你的银行账户信息，需要对你的账户做冻结处理。

受害者：好的，马上马上

几天过去了，王警官的电话再也没有响起过，小林也不断的收到银行的通知短信“您账户8888于10月23日12:00交易人民币200000.00”

1、基本信息

样本MD5：2AEB5A0CFFCEDFE1395774C6DA65C225

安装名称：安全防护

样本包名：www.online157.com

2、运行原理

程序启动后主要是引导用户输入查询文号，或者诱骗用户网银加密，实则是引导用户输入银行卡相关信息（银行卡号、银行卡密码、预留手机号等），并且在用户未授权情况下获取用户手机联系人通讯录、通话记录、短信息以及必要的固件信息等，并将以上信息全部上传到指定服务器，该过程包含了用户直接输入的大量敏感信息以及私自窃取的用户信息，黑客可以通过以上信息登录用户网银并且盗刷或者转走用户的账户余额。

图2 运行流程图

3、代码分析

（1）获取用户通讯录、短信、通话记录直接上传

程序启动后判断是真机则直接获取用户固件信息、通讯录、通话记录、短信息并上传到指定服务器。

图3 启动后上传通话记录、通讯录、短信息

获取用户通话记录：

图4 获取用户通话记录

图5 上传通话记录数据包

获取用户通讯录联系人：

图6 获取用户通讯录联系人

图7 上传通讯录联系人数据包

获取用户短信：

图8 获取用户短信

图9 上传用户短信数据包

获取用户信息的服务器地址：

获取联系人：http://136.**.**.157/msky/v1.0/contact/

获取通话记录：http://136.**.**.157/msky/v1.0/callrecord/

http://136.**.**.157/msky/v1.0/sms/ 

图10 窃取信息服务器地址

（2）诱导用户输入文号查询、银行卡号、手机号、密码等信息

图11 诱导用户输入信息

诱骗用户输入的银行卡信息：

图12 诱骗用户输入的敏感信息

银行卡可选其他信息：

图13 银行卡其他信息

用户输入的文号签证：

图14 文号信息输入

上传文号信息数据包

图15 上传文号信息数据包

（3）拦截并上传用户短信：

图14拦截并上传用户短信

4、同源分析

表1 同源样本信息

表2 服务器地址信息

5、防范及处置建议

（1）用户下载APP应前往官网或正规应用商店，尤其是个税、银行、理财等涉及大量个人隐私信息或个人财产的APP，官网下载要重点关注搜索页面相关官网认证标识，在应用商店下载还须仔细查看应用公示的开发者信息。此外，APP软件版本信息也尽量在多个下载渠道进行反复比对，多方面结合来认证识别，避免下载到仿冒APP。

（2）安装APP过程中，用户须仔细阅读应用申请的权限，如果发现存在与功能完全无关的权限，一定要谨慎安装。例如，游戏APP需要获取用户通话记录信息、短信记录信息，手电筒等工具类应用须获取联系人信息、位置信息等，都属于过度权限申请问题，如不是必须安装的APP，建议不要尝试安装，以防遭遇仿冒APP。另外，如果还是安装了这类APP，也可以到手机设置中的应用管理中将对应应用的敏感权限关闭，对于强制要求打开与功能无关的敏感权限的APP，建议用户果断卸载。

（3）使用APP过程中，对于个人隐私或金融账号的填写一定要慎重，能够填写模糊信息就不要填写精确信息，对于选填项目不要填写，防范个人隐私的泄露及财产损失，若确实遭遇仿冒APP并在使用过程遭遇经济损失或严重隐私泄露问题，应及时报警，避免损失扩大。

（4）当发现感染手机病毒软件之后，可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报，使病毒软件能够第一时间被查杀和拦截。