利用短信传播病毒案例调查

收到诈骗短信,我查到短信可能传播近4万次,诈骗金额可能达1000万台币。于是我打165反诈骗专线报案了,案件编号是1030216505,希望过段时间能看到诈骗集团被抓获的新闻。

晚上收到一条短信,提示是黑猫宅急便的短信,黑猫宅急便是快递公司,我的“philips x100”还不能完全显示繁体汉字,我把短信保存到SIM卡里,换到一台老婆的旧手机上,终于完整显示所有文字了:

接下来 把 http://goo.gl/dyLQnR 这个地址加上.info 就可以查看这个短链接被传播的效果,
http://goo.gl/dyLQnR.info

用我的GOOGLE帐号登录,一看这个短链接,两小时内被打开806次,是2014年5月14日上午8点创建的短链接,4天来被打开9214次,最近的四十分钟内就被打开648次。也就是说,+886925653767 (运营商可能是远传电信)号码这几天至少发送了9214条短信,至少有9214个人好奇或上当打开了这个链接。

这个链接是做什么用的呢? 在电脑上打开一下,原来是一个放在Dopbox的共享的文件,

这个文件是憑證.apk, 这样的链接如果在Android手机上打开,是不会出现上面的画面,会直接提示安装到手机当中。我没有有手机上测试,我用wget下载这个短链接,直接就下载到了apk文件

zola$ wget http://goo.gl/dyLQnR
–2014-05-17 21:17:28–  http://goo.gl/dyLQnR
Resolving goo.gl… 173.194.72.139, 173.194.72.138, 173.194.72.102, …
Connecting to goo.gl|173.194.72.139|:80… connected.
HTTP request sent, awaiting response… 301 Moved Permanently
Location: https://www.dropbox.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?m= [following]
–2014-05-17 21:17:28–  https://www.dropbox.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?m=
Resolving www.dropbox.com… 108.160.167.208
Connecting to www.dropbox.com|108.160.167.208|:443… connected.
HTTP request sent, awaiting response… 302 FOUND
Location: https://dl.dropboxusercontent.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?token_hash=AAEI0Qxh2KbE9FKq8Nz05-0M_f5VGgAcILbhyKzQVyR7dg&expiry=1400336248 [following]
–2014-05-17 21:17:29–  https://dl.dropboxusercontent.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?token_hash=AAEI0Qxh2KbE9FKq8Nz05-0M_f5VGgAcILbhyKzQVyR7dg&expiry=1400336248
Resolving dl.dropboxusercontent.com… 50.17.185.111, 107.21.115.150, 23.21.154.121, …
Connecting to dl.dropboxusercontent.com|50.17.185.111|:443… connected.
HTTP request sent, awaiting response… 200 OK
Length: 128315 (125K) [application/vnd.android.package-archive]
Saving to: €˜dyLQnR.3€™
100%[==================================================================>] 128,315      184KB/s   in 0.7s   

2014-05-17 21:17:30 (184 KB/s) – €˜dyLQnR.3€™ saved [128315/12831

这个   憑證.apk 是干什么的呢?我把下载下来的 憑證.apk 上传到virustotal,结果大量杀毒软件告诉我这是一个恶意发送短信的软件,病毒扫描结果在这里
https://www.virustotal.com/zh-cn/file/b8128981d2cf23db4436b7408c3753a536161b20a6616d98dd7d2b859c3566b7/analysis/1400332174/
扫描结果截图如下:

我想起最近老婆从学校拿回来一张政府发放的警告和提示,我从废纸篓子里找到了:

原来这恶意软件是靠偷偷发短信来赚钱的啊,一次能偷5000台币,折合1000多人民币,这生意不错啊,抓住幕后黑手就能让他去监狱呆好长一段时间了吧?

咦,这里面又有一个GOOGLE的短链接  http://goo.gl/kZcdvt,我再去看看这个链接被打开多少次

我 输入 http://goo.gl/kZcdvt.info ,查到 又是  %E6%86%91%E8%AD%89.apk,又是 憑證.apk  ,这个链接自2014年4月13号被传播29149次,地理信息显示在台湾被打开28549次,台湾的Android手机占有率很高,如果有80%的Android手机,20%人打开, 50%的人安装成功,每个人损失5000台币,28549*0.8*0.2*0.5*5000=11419600台币,约1千1百万台币的钱被偷走,要是台湾警方给力一点,从手机号码登记者入手,从短信扣费服务商的支付试入手,我就不信抓不到这个病毒制造者。

我觉得我应该提醒 +886925653767 赶紧跑路了,我于是发了条短信给 +886925653767,我的手机不能写繁体字,所以我写英文,内容是:Drop your phone, cops coming。意思是赶紧扔掉你的电话,警察要来了。警察要基于  +886925653767 的基站来定位来抓这个人也是很容易的。就看台湾警察有没有这个能力和财力去抓了。我先吓唬一下他。

我的Facbook上有人在地方法院檢察署工作,她们有许多平民没有的资源,假如她们出手的话,应该很容易能抓到这种黑客,不知道抓这种破获涉及1000万台币的案件能不能给她们带来成就感。先发BLOG里再发链接到FB上,谁有兴趣谁跟进好了,如果能留言回报一下最终结果,那就更感激了。

BTW:对于这种通过手机短信进行Malware传播的手段,我们这种长期被“国家资助的木马邮件”攻击的人表示太低端了,我这几年收集了不少来“国家资助的针对社会活动者的木马邮件”供研究人员分析来着: http://mumayoujian.zuo.la ,比较遗憾的是,我没有人力和财力去抓幕后的黑客,只能存档纪念一下而已。

2014年6月6日更新:
在Twitter看到 @htchien 收到诈骗短信: https://twitter.com/htchien/status/474770475181035521

http://goo.gl/4dJfTb ,加 .info 可得到 http://goo.gl/4dJfTb.info
病毒文件名是 https://www.dropbox.com/s/hpgzf8t5hohcg8s/通知單.apk 目前被传播888次。

https://www.virustotal.com/zh-cn/file/970433579008ee5cfe34586443427d44820df7430a20e3acca5b130a7aa22949/analysis/

看到 @garykb8 也收到诈骗短信: https://twitter.com/garykb8/status/473808815691800576

http://goo.gl/BZCwfH 加.info 可以看到传播次数 http://goo.gl/BZCwfH.info 目前传播次数22508次。
这个病毒传播做得有点巧妙,用电脑打开会真的看到一张聚会照片,但用Android手机会下载到病毒,链接会跳到  http://211.44.3.186/11/hotshow.php ,病毒文件在 http://211.44.3.186/11/browse.apk  文件统计数据全在 http://211.44.3.186/11/photoinfo.txt ,有204M之巨. 211.44.3.186 是一个韩国IP,但每次发短信的手机是台湾手机,应该有机会抓到这个病毒传播者。

2014年06月10日更新:
又收到 来自+886912019613 发来的“你的民事通知[台北地院]  http://goo.gl/H2zeIm.info
实际地址:  https://www.dropbox.com/s/5cyd1p5pm4alh22/通知單.apk  目前传播次数20762次。

来自周曙光的BLOGSPOT空间

6 thoughts on “利用短信传播病毒案例调查”

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据