走近科学 | 伪基站诈骗分析

本文原创作者：Praise（漏洞盒子白帽子）

一、简介

先来说说伪基站：即假基站，设备一般由主机和笔记本电脑组成，通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息，通过伪装成运营商的基站，冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

二、事件还原

前日，楼主路过某商场附近收到10086发来一条短信，关于“积分兑换现金”的消息处于职业警觉立即意思到是个骗局，短信内容是这样：

三、诈骗流程

1、打开短信中URL链接，界面布局相似度很近。（上假 下真）

2、进入假的页面【点击“现在就去兑换”】，按页面提示操作选银行卡类型：

3、弹出一提示框（确定进入下一步）

4、这一步要求受害者填写基本信息：姓名，开户行，卡号，密码，身份证号，银行预留手机号码等。后进入【激活提款】页面也是整个诈骗最核心一步铺垫，为啥。贪图便宜呗！

至此，诈骗者已经拿到你的姓名，开户行，卡号，密码，身份证号，银行预留手机号码下一步就是诱导下载这个“积分兑换的软件”。据分析该软件具备拦截短信、上传远程服务器功能。（下面会详细分析）

四、积分客户端分析

1、启动后即诱导用户激动设备管理器，激活后隐藏图标，导致卸载失败，且用户不易察觉。

2、使用Apktool、dex2jar、Jeb反编译结果都失败，解压包看些目录结构：

代码被加固保护了从图中可以看出是【ApkProtect】,借助Zdroid工具很快就把壳脱了，脱壳后dex的结构。

软件获取用户短信信息：

遍历手机短信内容后软件对已获取到的部分关键字做了“伪暗号”匹配并替换关键词内容和手机软件是否激活状态向诈骗者邮箱发送邮件：

拿到关键词后匹配伪暗号并填写邮件内容（短信的发件人、收件人、内容）：

构造邮件服务端连接并登陆、发送邮件代码：

把arg4 ，arg5 ,arg6做了log输出得到诈骗者的使用邮箱类型、邮箱账号、密码：

不过尝试登陆该邮箱失败了，可能是受某邮箱泄露诈骗者改了密码，查了下短信中URL的Whios信息，注册人邮箱和软件中的邮箱极其相似。

代码分析至此整理出以下几点：

1. 伪基站播发10086短信积分兑换现金信息； 2. 诱导受害者填写手机号码，省份证，银行卡，密码，开户行等信息； 3. 诱导受害者下载木马安装（运行中激活设备管理器，隐藏桌面图标）； 4. 拦截手机短息发到木马者邮箱，然后就经常看报到说我的钱没了么了。

五、伪基站诈骗防范措施

1. 收到类似短信及时向官方客服电话确认； 2. 收到类似短信不打开连接，不下载，不安装； 3. 公共场所不使用来历不明的WIFI热点； 4. 手机安装安全防护软件、定期清理垃圾、查杀木马病毒； 5. 手机系统不轻易ROOT以免被恶意软件侵害； 6. 域名注册商、服务器空间厂商加大类似域名注册使用监管力度； 7. 任何场所下不轻易泄露个人任何信息。

个人信息泄露的危害

· 垃圾短信源源不断，骚扰电话接二连三，垃圾邮件铺天盖地，冒名办卡透支欠款； · 不法团伙前来诈骗，冒充公安要求转帐，坑蒙拐骗乘虚而入，帐户钱款不翼而飞； · 个人名誉无端受毁。

* 作者：Praise（漏洞盒子白帽子），本文属FreeBuf原创奖励计划文章，未经许可禁止转载