走近科学 | 伪基站诈骗分析

本文原创作者:Praise(漏洞盒子白帽子)

一、简介

先来说说伪基站:即假基站,设备一般由主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜取以其为中心、一定半径范围内的手机卡信息,通过伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告推销等短信息。

二、事件还原

前日,楼主路过某商场附近收到10086发来一条短信,关于“积分兑换现金”的消息处于职业警觉立即意思到是个骗局,短信内容是这样:

三、诈骗流程

1、打开短信中URL链接,界面布局相似度很近。(上假 下真)

2、进入假的页面【点击“现在就去兑换”】,按页面提示操作选银行卡类型:

3、弹出一提示框(确定进入下一步)

4、这一步要求受害者填写基本信息:姓名,开户行,卡号,密码,身份证号,银行预留手机号码等。后进入【激活提款】页面也是整个诈骗最核心一步铺垫,为啥。贪图便宜呗!

至此,诈骗者已经拿到你的姓名,开户行,卡号,密码,身份证号,银行预留手机号码下一步就是诱导下载这个“积分兑换的软件”。据分析该软件具备拦截短信、上传远程服务器功能。(下面会详细分析)

四、积分客户端分析

1、启动后即诱导用户激动设备管理器,激活后隐藏图标,导致卸载失败,且用户不易察觉。

2、使用Apktool、dex2jar、Jeb反编译结果都失败,解压包看些目录结构:

代码被加固保护了从图中可以看出是【ApkProtect】,借助Zdroid工具很快就把壳脱了,脱壳后dex的结构。

软件获取用户短信信息:

遍历手机短信内容后软件对已获取到的部分关键字做了“伪暗号”匹配并替换关键词内容和手机软件是否激活状态向诈骗者邮箱发送邮件:

拿到关键词后匹配伪暗号并填写邮件内容(短信的发件人、收件人、内容):

构造邮件服务端连接并登陆、发送邮件代码:

把arg4 ,arg5 ,arg6做了log输出得到诈骗者的使用邮箱类型、邮箱账号、密码:

不过尝试登陆该邮箱失败了,可能是受某邮箱泄露诈骗者改了密码,查了下短信中URL的Whios信息,注册人邮箱和软件中的邮箱极其相似。

代码分析至此整理出以下几点:

1. 伪基站播发10086短信积分兑换现金信息; 2. 诱导受害者填写手机号码,省份证,银行卡,密码,开户行等信息; 3. 诱导受害者下载木马安装(运行中激活设备管理器,隐藏桌面图标); 4. 拦截手机短息发到木马者邮箱,然后就经常看报到说我的钱没了么了。

五、伪基站诈骗防范措施

1. 收到类似短信及时向官方客服电话确认; 2. 收到类似短信不打开连接,不下载,不安装; 3. 公共场所不使用来历不明的WIFI热点; 4. 手机安装安全防护软件、定期清理垃圾、查杀木马病毒; 5. 手机系统不轻易ROOT以免被恶意软件侵害; 6. 域名注册商、服务器空间厂商加大类似域名注册使用监管力度; 7. 任何场所下不轻易泄露个人任何信息。

个人信息泄露的危害

· 垃圾短信源源不断,骚扰电话接二连三,垃圾邮件铺天盖地,冒名办卡透支欠款; · 不法团伙前来诈骗,冒充公安要求转帐,坑蒙拐骗乘虚而入,帐户钱款不翼而飞; · 个人名誉无端受毁。

* 作者:Praise(漏洞盒子白帽子),本文属FreeBuf原创奖励计划文章,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-10-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏二次元

萌音云笔记平台

另外,由于博主剩下的时间不多了,很多计划中的功能便割舍了.....无奈╮(╯▽╰)╭ 好吧,一般我不喜欢介绍项目功能,你们自个发掘吧! 这可能是今年...

51510
来自专栏FreeBuf

远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天

6月27日,渗透测试工具包Magnitude已经成功Adobe Flash Player 0day漏洞,而这个时间仅在Adobe发布修复漏洞补丁后的四天,工具包...

22890
来自专栏企鹅号快讯

Web安全之SQL注入及弱口令

Web安全之SQL注入实战一、概述 按照百科解释,所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执...

1.6K90

RansomWeb:一种新兴的网站威胁

越来越多的人成为勒索软件的受害者,勒索软件是一种加密你的数据并要求支付资金解密的恶意软件。最新趋势表明,网络犯罪分子现在也将瞄准您的网站以获得您的赎金。

14430
来自专栏信安之路

无线网络 EAP 认证

平常我们见到最多的 wifi 安全模式都是 WAP2 PSK 由于 WEP 被发现了很多漏洞。WAP2 就出来了他的安全性比 WEP 是高很多的,但是 WAP2...

24400
来自专栏黑白安全

总结常见的10种破解密码方法

为了防止键盘记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而...

1K20
来自专栏魏艾斯博客www.vpsss.net

Siteground注册购买图文教程

Siteground是美国有名的主机商家,经过魏艾斯博客和朋友们几个月的使用,感觉Siteground在稳定性、速度、操作上比较的方便易用,所以写下本文把这个好...

63120
来自专栏企鹅号快讯

黑客术语基础知识快速了解

1.肉鸡:所谓“肉鸡”是一种很形象的比方,比方那些能够随意被我们操控的电脑,对方可所以Windows体系,也可所以UNIX/Linux体系,可所以一般的个人电脑...

558100
来自专栏安恒信息

敲竹杠木马强锁电脑

以往木马病毒大多以盗号、劫持网银资金、刷广告流量为主,然而近期一类专门敲诈赎金的“敲竹杠”木马感染量急剧增加。据安全中心分析,该木马运行后会篡改Windows登...

35080
来自专栏逸鹏说道

Android 5.0屏幕录制漏洞(CVE-2015-3878)威胁预警

0x00 摘要 低技术门槛的漏洞利用或木马制作隐藏着极大的安全威胁,当这种安全威胁遇上手机用户的低安全意识时可能导致Android平台恶意软件的大规模爆发。36...

38960

扫码关注云+社区

领取腾讯云代金券