更换平安普惠设备验证码:
更换QQ号绑定手机:
银行转账验证码:
微信支付验证码:
更改银行预留电话验证码,开通手机银行:
SP订阅:
3.隐藏图标激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。
4.接收短信指令进行远控行为Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信,解析此短信内容发现它会执行以下操作:指令1:锁机锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038******有偿解锁。
指令2:短信短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。指令3:群发群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。
该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。5.实时上传短信Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。6.卸载程序锁机Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。
2.追溯恶意开发者SNS账号信息及姓名我们从代码静态分析中得到恶意开发者邮箱信息,在邮箱中有蒲公英应用分发平台上的账号,从中可以得知作者的名字和QQ:
通过分析我们还发现该恶意作者存在对外兜售拦截马的行为:
3.进一步判断恶意开发者身份a)通过上一追溯环节的结论,我们得到了恶意开发者的qq账号,以下是其qq账号个人资料信息。从下图可以看到,该开发者的年龄为18岁(但该信息不一定可靠),初步推断其为高中生的可能性。
b)通过访问该qq对应的qq空间,我们看到其空间中展示了某渠道拦截到的受害者短信信息,为该qq与实际攻击者进行了一次强关联,也进一步保证了我们通过该qq收集的攻击者信息的可靠性。
c)该空间中上传了一些学校运动会的照片,可以推断出该攻击者为一名学生。
d)我们在其空间中看到了攻击者发布的学校位置的卫星图以及对应的卫星拍摄视频地址。通过查看该卫星拍摄视频,视频结尾呈现了视频制作者姓名,而该姓名与前面追溯环节所得到的攻击者姓名信息完全一致。
e)更为关键的是,该卫星拍摄地图以及空间中的说说信息中,披露了一所高中的校名以及地理位置。其指向的是四川省德阳市下某县的某所高中,进一步印证了攻击者为高中生的推测。
领取专属 10元无门槛券
私享最新 技术干货