Author:360 烽火實驗室
近期,360烽火實驗室發現一類潛藏兩年之久的Android木馬,被利用專門從事私彩賭博、短信詐騙活動。該木馬集遠程控制、中間人攻擊、隱私竊取于一身,能夠在受害者不知情的情況下,攔截并篡改任意短信,監控受害者的一舉一動。通過對該類木馬的追蹤發現,常見的社交類軟件也在攻擊中被利用。
我國刑法第三百零三條【1】規定:以營利為目的,聚眾賭博,開設賭場或以賭博為業的,都以賭博罪論處,處3年以下有期徒刑、拘役或者管制,并處罰金。我國大陸禁止任何個人和組織經營六合彩,公安部門一直對“地下六合彩”保持高壓狀態。
傳統以營利為目的賭博活動參賭人員往往在參賭之前,幻想自己贏錢就退下。但事實卻相反,贏錢時怪自己下注不夠大,輸錢時還想翻本。這種以小博大,好逸惡勞、一夜暴富的幻想促使賭博屢禁不止。
新興網絡賭博方式的出現,為參賭人員躲避打擊,資金交易提供了有利的平臺,調查取證變得極為困難。隨著移動互聯網的發展,黑客的參與,傳統賭博活動中莊家的優勢不再明顯,也促使了賭博活動轉向更隱秘的短信和微信渠道。
短信作為日常生活中頻繁使用的通信手段,正在被黑客使用Android木馬進行賭博詐騙活動。微信集通信、視頻、分享等功能于一身的強大通訊社交APP,也正在被黑客利用進行賭博詐騙活動。該木馬增加了參賭人員的信心,順利讓參賭人員做了一回“千王之王”。
買家與黑客合伙攻擊莊家之前需要對莊家的收單行為進行風險評估,以降低被發現的概率。
黑客針對訪問宣傳網站的人,私自收集用戶的手機號碼,發送精準營銷短信。
黑客會給買家發送一條Android木馬的下載鏈接,讓買家騙莊家安裝,一旦成功安裝,Android木馬對設備的使用沒有任意影響,并且無圖標,莊家無法感知。
買家隨時隨地使用短信或網絡控制指令,修改莊家手機中的任意短信內容。
使用蘋果手機的莊家,買家讓黑客生成一條可修改的彩單鏈接,預先將該鏈接以微信的“分享給朋友”功能分享給莊家。分享后所看的聊天記錄與正常的聊天記錄表面上區別不大。
買家修改后臺彩單圖片或文字,達到修改莊家微信聊天記錄的目的。
名詞解釋
私彩:包括但不限于地下六合彩等違法博彩活動
彩單:具體的私彩號碼
莊家:地下六合彩坐莊的人,接受別人在他這里下注
買家:購買私彩的人
改單者:提供修改短信/微信聊天記錄服務的人
關鍵詞:私彩賭博、聊天記錄修改、Android木馬、釣魚、遠程控制、隱私竊取
賭博是一種拿有價值的東西做注碼來賭輸贏的游戲,是人類的一種娛樂方式。雖然任何賭博在不同的文化和歷史背景有不同的意義,但是它們都是利用人們以小博大、好逸惡勞、一夜暴富僥幸心理,最終往往都是輸多贏少,甚至血本無歸。
六合彩【2】是香港唯一的合法彩票,是少數獲得香港政府準許合法進行的賭博之一,從1975年開售樂透式彩票多重彩,取代原先的馬票,由香港賽馬會代為受注,現已改由香港賽馬會以香港馬會獎券有限公司的名義接受投注及開彩。香港政府和香港賽馬會從來沒有于香港以外地區開設投注業務,亦沒有委托任何人或組織進行相關業務。因此,中國大陸所有以“香港六合彩”、“香港賽馬會”、“香港馬會”或類似名目進行的六合彩活動,均為假冒。另香港賽馬會的官方網站于中國大陸是不能登入的,因此聲稱能在中國大陸可以直接登入的六合彩網站,均屬假冒網站。
我國刑法第三百零三條規定:以營利為目的,聚眾賭博,開設賭場或以賭博為業的,都以賭博罪論處。處3年以下有期徒刑、拘役或者管制,并處罰金。我國大陸禁止任何個人和組織經營六合彩,在政府的大規模嚴歷打擊下,“六合彩”也因此而轉移到地下,俗稱“私彩”,私彩指的是私人作莊的地下六合彩【3】,它的形式多種多樣,包含但不限于地下六合彩。是假冒香港的六合彩號碼招來的賭博活動,私彩的投注金額從幾十至幾千元不等,賠率更視莊家的財勢而定,有很多純粹是詐騙金錢。六合彩在香港地區屬于合法的,但在大陸是禁止任何個人和組織經營香港六合彩的。然而在2000年左右,內地卻有些不法之徒自己坐莊,玩起了香港六合彩。
由于內地的“六合彩”和香港的六合彩并無實質聯系,只是利用了香港六合彩開出的號碼和其名聲,由莊家及其合伙人以不公開的地下聯絡方式進行押注或購“碼”而全程控制操作來牟取暴利。公眾購買六合彩就是與莊家賭博,且決無勝算。
通常私彩莊家為推動買家買碼的熱情,可能給出比香港六合彩更高的賠付標準,在1~49這49個數字中有一個數字為中獎號碼,這個數字稱為“特馬”,參與者買中了“特馬”,則會得到1:40的獎金,莊家還通過非法自制印刷“馬報”(香港賽馬和六合彩的新聞報紙),并包裝成各種所謂的“玄機圖”出售或免費發放。由于賠付巨大,莊家還會營銷幸運者,通過幸運者的榜樣作用,激發人們的熱情,加大押注,擴大范圍。
傳統私彩一般通過線下的方式交易,下單和兌獎。通常存在于城中村,市區近郊及工廠周邊。如出現巨獎,常常出會現莊家跑路,無法兌付。因此存在較多的不穩定因素。國家對這種場所的賭博一直保持高壓態勢,于是出現了私彩賭博交易的方式。
傳統私彩賭博人員結構采用典型的金字塔型。頂端的莊家從小莊家那里收單,開彩,通過各種欺騙推動彩民賭博,小莊家則負責抄單及整理從抄單者那里收取的錢和彩單。抄單者一般是隱藏在各個城鄉結合地,工廠附近,負責把收集的彩單和錢給小莊家,并從中收取抄單分成。
【圖1.1】傳統私彩賭博角色劃分
(一)賭博類相關數據分析
賭博類信息通常使用偽基站、社交媒體、宣傳網站等各種渠道傳播,根據360互聯網安全中心最新發布的《2016中國偽基站短信研究報告》【4】顯示,賭博類短信主要集中在四川、重慶等地。
【圖1.2】偽基站短信類別地域分布
四川地區賭博類偽基站短信占比24.7%,居首位,而廣東、重慶分別以22.8%和16.6%位居其后,而其他地區則明顯較少。
【圖1.3】賭博類偽基站短信省級區域Top10。
(二)通過電腦的方式在網站上賭博
新興的網絡賭博由線下轉為了線上,通常使用電腦完成,例如:莊家提供多個平臺,每個平臺由不同的代理來發展賭博人員,給賭博人員分配賬號,買家通過匯錢到該平臺獲得賭注,并在該平臺上進行在線賭博,一般賭博平臺可進行資金提取,但提取時都會有最低限額或最高限額。這其中也不乏一些騙子,在賭博人員匯完款之后資金提取慢,拖延,甚至賬號被直接刪除。由于賭博本身違法,買家不能通過正常的渠道追回損失。
【圖1.4】傳統網絡賭博結構圖
(三)通過移動端社交平臺進行私彩賭博
社交平臺方式一般是由買家通過短信或社交軟件的形式把彩單直接發送到莊家手機來進行投注。待開獎后,根據聊天記錄中的彩單進行兌獎。這種方式非常隱蔽,莊家不用像以前一樣手寫抄單給公安機關留下證據,兌獎時也是直接查看聊天記錄,下注與兌獎以網絡轉賬的形式進行。一切操作均在手機上完成,不易留下痕跡,給公安機關調查和取證帶來極大不便。
【圖1.5】移動端社交賭博流程圖
(四)傳統平臺與移動平臺對比
【圖1.6】傳統私彩賭博與新型社交平臺賭博對比
由于傳統線下的賭博方式容易遭到打擊,私彩的運行模式逐漸由線下轉為線上,在電腦上進行私彩下注。然而這種方式常常伴隨著詐騙,騙一個是一個的情況很常見,由于存在賭注無法兌付的風險,買家往往都抱著觀望和懷疑的態度。隨著移動互聯網的興起,漸漸的移動端開始出現私彩賭博的蹤跡。在出現移動互聯網博彩之前,買家往往輸多贏少。但是,根據360烽火實驗室最新追蹤發現,在移動互聯網上博彩的買家,輸多贏少的局面似乎發生了一些微妙的變化。
隨著移動互聯網的興起,為地下私彩躲避打擊提供了有利的平臺。線下莊家開始提供直接在短信或社交平臺上下單,通過聊天記錄進行兌獎的服務。由于這種方式操作簡單,傳播速度快,兌獎方式簡便,受到線下莊家及買家的歡迎。
在莊家提供以上服務的同時,黑客也開始參與進來,由于移動互聯網私彩的中獎的關鍵是聊天記錄,黑客們開始聲稱他們能修改發出去的短信和微信聊天記錄,將原本沒有中獎的彩單,改成中獎號碼。該技術受到買家的歡迎,并紛紛開始與黑客合作。該技術方法最早可追溯到2014年4月,利用軟件修改短信聊天記錄的當時標價在5~8萬元左右,修改社交平臺聊天記錄的,黑客與買家對獲利進行三七分成,只有大客戶才能享受。經過2年的發展,修改短信記錄的軟件標價已跌落至5000元左右。但社交平臺修改聊天記錄還是存在,根據最新追蹤發現,黑客可以從高級客戶那里賺取每單至少1.5萬元的分成。
【圖2.1】分成模式
通過調查發現,買家通過短信方式或者微信等聊天工具將彩單發送到莊家那里下注,并通過網絡或線下的方式把錢轉給莊家。等開獎時,莊家對照買家的彩單,進行兌獎。
【圖2.2】一般私彩賭博步驟
買家首先確定下注的號碼并向黑客提出彩單修改的需求后,可以有以下兩種方式實施攻擊。
(一)利用短信
黑客向買家轉發一條Android木馬的下載鏈接,買家再將此鏈接轉發給莊家。一旦買家安裝上,即可潛伏。等到開獎時,通過短信、網絡指令修改彩單。
(二)利用微信
黑客向買家轉發一條經過處理的彩單微信消息,該彩單轉發買家后,即可潛伏。等到開獎時,通過網站后臺修改彩單。
【圖2.3】黑客與買家定向攻擊步驟
在找到合適合作對象之前,黑客對他所具有的技術要進行宣傳和營銷,以便告訴買家該技術的真實性。
【圖3.1】黑客是如何和買家走到一起的
(一)建立自己的官方網站
黑客網站常常偽裝成正常網站,并看上去很正規,但內容卻只有懂的人才知道,黑客網站上有較為詳細的操作教程,以及聯系方式。以便買家快速了解。
【圖3.2】宣傳網站之一
【圖3.3】宣傳網站之二
(二)尋找目標人群精準投遞
1)當買家使用手機通過搜索引擎搜索到黑客的官網地址并打開訪問時,黑客主頁中的竊取隱私的代碼即運行。
【圖3.4】手機號碼竊取代碼
2)經過層層分析發現,最終會通過訪問WAP手機網站泄露了買家的手機型號及手機號碼。
【圖3.5】手機號碼泄露數據包
【圖3.6】手機號抓取后臺截圖
3)隨后的幾天之內,買家就會收到黑客的精準營銷短信。
【圖3.7】改單者發送的精準營銷短信
4)錄制宣傳視頻廣泛傳播
【圖3.8】改單者的宣傳視頻
5)借助論壇發帖兜售
【圖3.9】改單者出售改單軟件
(一)通過搜索引擎
買家通常使用搜索引擎來找技術提供者,通過360商易對搜索行為的分析顯示,廣東的買家在搜索指數中排第一,說明黑客的客戶大多以廣東的買家為主。
【圖3.10】潛在買家分布圖
(二)通過垃圾短信
【圖3.11】通過垃圾短信了解賭博信息
在黑客與買家達成合作意向后,買家需要對莊家進行進一步的篩選,以確保在詐騙過程中不被發現,所以詐騙之前的信息搜集,篩選工作很重要。
(一)手機系統決定實施的方案
莊家的手機的操作系統通常是安卓系統或蘋果系統。使用安卓系統的莊家優先使用短信形式,而使用蘋果系統的莊家則多采用微信形式。
【圖3.12】短信形式與微信形式方案實施對比
(二)日常行為關鍵信息搜集
對莊家日常行為的搜集越詳細越好,目的是根據莊家的行為來評估改單的風險性。
【圖3.13】日常行為關鍵信息決策圖
通過前期的準備工作,了解莊家收單行為后,確定了要實施的方案,就可以開始進行定向攻擊了。下面將對這幾步攻擊步驟及其技術實現進行詳細揭露,定向攻擊的場景分為短信和微信兩種形式,兩種的實施方式有明顯的差異。
(一)發送Android木馬下載地址短信
如果莊家使用的是Android操作系統手機,買家會先通過短信或微信的方式發送一條Android木馬下載鏈接給莊家,隨后通過短信,微信等方式誘導莊家安裝Android木馬。一旦莊家裝上該木馬,木馬隨即進入潛伏狀態,即完成詐騙過程的關鍵一步,類似詐騙短信如下圖。
【圖4.1】木馬下載地址短信
根據360烽火實驗室對該木馬感染情況的分析,廣東地區被感染的用戶最多。
【圖4.2】感染莊家分布圖
這種手法的詐騙短信,我們在之前FakeTaobao系列木馬【5】的分析中也進行了詳細的揭露。是目前移動場景上對用戶影響最大的一類詐騙短信。
(二)潛伏期的Android木馬功能點分析
潛伏期的木馬,對手機的正常使用沒有任何影響,且無圖標,用戶無法感知。
功能一:遠控功能
木馬集遠程定位、上傳短信、新短信監控等功能于一身,功能全面足以監控莊家的一舉一動。而這所有功能的操控又可以分為短信指令,和網絡后臺的方式。
【圖4.3】短信指令與網絡后臺指令對比
1)短信指令形式修改短信代碼
【圖4.4】短信指令修改短信代碼
2)后臺指令形式修改短信代碼
【圖4.5】網絡后臺指令修改短信代碼
功能二:中間人攻擊
中間人攻擊是一種常用古老的攻擊手段,并且一直到今天還具有極大的擴展空間,中間人攻擊通常用于網絡攻擊,其目的是對信息進行竊取和篡改。然而,隨著近幾年移動終端的發展,移動終端越來越離不開我們的生活。移動終端存儲著大量的用戶隱私信息,控制了用戶的手機,意味著擁有了對用戶隱私完全的獲取能力。
【圖4.6】中間人攻擊篡改數據代碼
【圖4.7】該場景下的中間人攻擊示意圖
(三)發作期的Android木馬功能點分析
1)發送詐騙短信
當確定何時實施改單詐騙之后,首先向莊家下單,例如使用短信指令形式,直接將彩單通過短信發送給莊家;使用后臺指令的形式,直接在黑客提供的后臺操作,木馬通過聯網的方式,獲取需要插入的彩單。在莊家手機中完成修改買家彩單的操作。
【圖4.8】發送彩單代碼
2)開彩后改單
開彩后,當確定需要修改的內容后,迅速發送一條控制短信給莊家手機上。由于這個時候是莊家最忙的時候,不容易被發現。
控制短信格式:#{原短信內容}#{修改后的短信內容}
【圖4.9】替換內容代碼
3)短信修改方式揭秘
短信修改是匹配關鍵字的形式,在成功匹配到指定關鍵字的短信之后,隨即使用新的內容替換該關鍵字。
【圖4.10】修改短信代碼
4)修改短信彩單效果前后對比
修改后的短信,除了內容被修改以外,其它比如短信接收時間,發送號碼,均未更改,盡可能的做到了隱秘修改,降低被發現的風險。
【圖4.11】修改短信彩單效果對比
5)收集新短信,全面監控莊家短信來往
【圖4.12】監控新短信來往并上傳
由于微信改單無需安裝軟件,跨平臺的特點,比較適合攻擊使用蘋果手機的莊家。價格也比較高,大多采用黑客與莊家分成的模式,或者直接賣后臺賬號的形式來獲利。
(一)微信彩單形式
1)圖片形式
【圖4.13】圖片式假彩單
2)文字形式
【圖4.14】文字式假彩單
(二)圖片和文字假彩單的制作過程
當買家購買了黑客的服務,采用分成模式后黑客會全程參與詐騙過程,采用賣后臺賬號模式的會直接提供后臺賬號及后臺使用方法。買家操作和黑客操作步驟并無區別。只是操作熟悉程度的差別而已。
步驟一:首先,買家將需要買的號碼寫在紙上,再拍照片上傳到后臺,如使用文字形式,直接復制文字到后臺即可,通過后臺制作出一張可修改的假彩單,并生成鏈接。
【圖4.15】假彩單制作后臺截圖
步驟二:點開該鏈接,使用分享功能,將圖片分享給莊家即可。
【圖4.16】假彩單后臺生成的鏈接
至此,假彩單已制作成功并發送至莊家手機。
(三)可修改的彩單在微信中的展現
【圖4.17】假彩單形式展現
(四)圖片式可修改彩單與正常彩單的展現對比
無論是正常彩單還可修改的彩單,用戶往往都會點擊查看大圖,正常彩單直接顯示圖片,且打開速度快。而修改的彩單點擊后會在微信內嵌瀏覽器中顯示圖片,圖片打開速度由網絡速度決定。
【圖4.18】可修改圖片彩單與正常圖片彩單對比
(五)文字式可修改彩單與正常彩單的展現對比
文字形式的彩單也和圖片彩單一樣,同樣是一個鏈接。
【圖4.19】可修改文字彩單與正常文字彩單對比
(六)假彩單的真面目
假彩單其實是一個鏈接,由于在微信上展現的效果和正常的聊天記錄區別不大,在微信中點開后,不容易甄別,實際上打開的是微信內嵌的瀏覽器。連接到黑客的服務器上,黑客將服務器上面的彩單改成中獎號碼之后,莊家確認買家彩單是否中獎時,會點開查看。
【圖4.20】假彩單的真面目
點擊聊天記錄中的彩單,實際訪問的是假彩單提供網站的地址: hxxp://www.yucituan.com/Info.asp?itemid=4097&from=message&isappinstalled=0
根據對網站的分析,網站使用了微信的分享功能中“分享給朋友”功能,該功能微信官方JSSDK【6】開發文檔說明如下:
【圖4.21】微信JSSDK”分享給朋友”官網說明
網站將分享的標題和描述設置為空,導致如不仔細甄別,很有可能混淆正常聊天記錄。
【圖4.22】假彩單提供站微信分享代碼
使用微信JSSDK開發分享功能,需要在微信后臺綁定域名,并且域名是需要備案的。在追蹤域名服務器位置信息時,我們發現兩個假彩單提供站的服務器IP為同一個。說明黑客正在利用不同的身份注冊域名,以逃避打擊。
【圖5.1】假彩單域名對應IP地址
【圖5.2】IP對應位置信息
【圖5.3】假彩單提供站備案信息一
【圖5.4】假彩單提供站備案信息二
【圖5.5】改單技術宣傳網站
【1】 最新刑法全文
http://www.66law.cn/tiaoli/9.aspx
【2】 六合彩簡介
http://baike.so.com/doc/5348413-5583866.html
【3】 地下六合彩
http://baike.so.com/doc/831074-878972.html42016
【4】 中國偽基站短信研究報告
http://zt.#/1101061855.php?dtid=1101061451&did=1101741409
【5】 FakeTaobao家族變種演變
http://blogs.#/360mobile/2014/09/16/analysis_of_faketaobao_family/
【6】 微信JSSDK”分享給朋友”使用說明
http://mp.weixin.qq.com/wiki/7/aaa137b55fb2e0456bf8dd9148dd613f.html