360手机安全中心独家揭密 谁在买卖“偷钱”的手机木马?
今年央视315晚会曝光了“10086积分兑换”电信诈骗全过程,大量手机用户因下载了短信链接中的软件中招手机木马导致钱款被盗。这实际上是一个名为“FakeTaobao”的手机木马家族在作恶。近日,360手机安全中心发布了FakeTaobao木马家族最新统计数据,该家族木马样本数量已从3万猛增至13万,其中两广地区成为买卖这类手机木马的黑窝点。
“FakeTaobao”家族手机木马以“偷钱”为目的
FakeTaobao木马家族样本在进入用户手机后,会通过钓鱼、诱骗、欺诈的方式窃取用户姓名、身份证号码、银行卡账户、支付密码、短信内容,以及各种登录账号和密码等用户重要的个人隐私信息,再通过短信转发、联网上传和发送邮件等多种方式,造成手机用户信息泄露,不法分子再利用这些信息窃取用户资金,严重威胁手机用户的财产安全。
图1:手机木马黑色产业链
以金钱为核心,手机木马的开发、传播、贩卖等已经形成稳定的黑色利益链:木马作者制作出手机木马,通过QQ群、论坛、网站等途径进行售卖进而获利;木马购买者买回木马后,利用伪基站、钓鱼网站、二维码等方式传播木马,并对木马传播情况进行控制,通过将木马窃取的中招用户隐私进行贩卖获利或洗钱等手段获利。
“购马人”两广地区最多 粤桂沪三地占总量一半以上
360手机安全中心通过分析FakeTaobao木马的控制端数据动态,总结出了购买木马者的地域分布特点:广东、广西和上海占据前三位,并占到总量的一半以上,其中省级行政区广东最多,地级城市广西南宁最多。而涉及恶意样本最多的木马购买者来自上海:某位木马购买者使用同一号码控制多达408个恶意样本。
图2: FakeTaobao家族木马购买者地域分布比例图
通过分析控制端号码发现,131、130、132是购马人最喜欢用的号码段,而最新推出的176、177号段,甚至虚拟运营商的170专属号段,也较受购马人“青睐”,选为木马控制号码。
木马制作者两广最多 广西手机木马“自产自销”
根据数据分析显示,两广地区不仅是购买木马人数最多的地区,也是木马制作的主要地点。将数据细化至地级城市可以看到广西南宁高居首位,经过比较发现,广西南宁的木马购买者和木马制作者数量基本相同,手机安全专家分析,这些手机木马有可能是“自产自销”。
图3: FakeTaobao家族木马制作者地域分布比例图
而为了躲避追踪,FakeTaobao家族不论是从样本量还是对抗手段都与去年相比都有了较大的变化。之前通过短信、邮件或WEB等形式回传数据,极易暴露木马作者自身信息,于是新的木马变种开始通过利用第三方平台作为跳板,木马购买者可以有效隐藏个人身份信息从而躲避追踪。
针对特定人群定向传播成为新特点
360手机安全中心通过近期用户举报发现,FakeTaobao家族木马除了窃取短信验证码外,还对用户手机联系人进行筛选,手机中被备注为高职位的联系人更容易成为攻击对象。利用那些被备注为董事长、经理、局长等高职位的联系人进行传播更具有欺骗性,许多用户会因此防松警觉更易中招。
360手机安全中心提醒,手机用户需提高警惕,谨慎点击短信中的不明链接,不要轻易下载安装未知来源软件,也不要随意在手机网址中填写个人信息。同时在安装360手机卫士等安全软件对手机定期检测和查杀,必要时可使用360手机急救箱对手机木马进行查杀。
360手机卫士下载地址:http://shouji.360.cn/v2/index.html
360手机急救箱下载地址:http://www.360.cn/jijiuxiang/index.html
详细分析地址:
http://blogs.360.cn/360mobile/2015/04/13/analysis_of_faketaobao_family_2/
