攻击者必须先说服受害者下载一个应用,所用方法可能是向受害者发送一个链接,以低息贷款之类诱惑受害者安装该应用。只要目标上钩,并在之后拨打金融公司咨询贷款情况,该电话呼叫就会被拦截并接往攻击者。
受害者认为他们是在与金融公司员工通话,但实际上并不是。他们根本不知道自己已身陷骗局之中。大多数此类攻击都模仿的是金融公司的应用。
不幸的是,张敏昌及其研究团队首次发现带有拦截功能的恶意应用时,他们已不能访问在线恶意应用分发服务器,因为他们接到受害者报告的时候,那个服务器已经被关闭了。2018年4月,张敏昌发现了一个活跃的在线分发服务器,他们的研究由此转入恶意钓鱼应用。
该分发服务器的运营周期非常短暂,从几个小时到两天不等。
我是在监视社区网站以收集信息的时候发现的这台服务器。上面有一篇帖子教导用户警惕网络钓鱼网站。幸运的是,帖子里面讨论了他们想要调查的几个恶意应用。我在该网页源代码中发现了一个描述在线恶意软件分发服务器的字符串。我以该字符串为关键字进行扫描,想收集更多恶意软件分发服务器。
只要能访问服务器,研究人员便可验证其上开放了哪些端口,访问其网页源代码。基于从第一台分发服务器收集的代码串,他们创建了一个实时恶意应用收集脚本。该脚本可近实时的自动收集恶意软件分发服务器及应用。
在该脚本的帮助下,研究人员找到了更多的恶意应用分发服务器和各种各样的恶意应用。从发现第一台活跃恶意应用分发服务器开始,他们收集到了约3,000个来自不同服务器的恶意应用。这些命令与控制服务器(C2)地址被硬编码到了恶意应用中,可被轻易抽取。
研究继续深入。团队分析了C2服务器,在上面发现了一份含有访问服务器所需账户数据的文件。这份数据帮助团队获得了该分发服务器Windows服务器管理员和C2服务器数据库管理员的权限。连接该服务器的远程桌面协议(RDP)让研究团队获悉了更多信息——研究团队证实攻击者是通过以太网点对点协议(PPPoE)接入互联网,服务器位于台湾。
亚洲黑帽大会上,张敏昌发表题为《网络电话钓鱼vs恶意安卓应用》的演讲,披露并讨论其研究团队在过去几个月中对网络电话钓鱼所做犯罪追踪与分析的发现。