移动平台千王之王大揭秘


Author:360 烽火实验室

0x00 摘要


  • 近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。

  • 我国刑法第三百零三条【1】规定:以营利为目的,聚众赌博,开设赌场或以赌博为业的,都以赌博罪论处,处3年以下有期徒刑、拘役或者管制,并处罚金。我国大陆禁止任何个人和组织经营六合彩,公安部门一直对“地下六合彩”保持高压状态。

  • 传统以营利为目的赌博活动参赌人员往往在参赌之前,幻想自己赢钱就退下。但事实却相反,赢钱时怪自己下注不够大,输钱时还想翻本。这种以小博大,好逸恶劳、一夜暴富的幻想促使赌博屡禁不止。

  • 新兴网络赌博方式的出现,为参赌人员躲避打击,资金交易提供了有利的平台,调查取证变得极为困难。随着移动互联网的发展,黑客的参与,传统赌博活动中庄家的优势不再明显,也促使了赌博活动转向更隐秘的短信和微信渠道。

  • 短信作为日常生活中频繁使用的通信手段,正在被黑客使用Android木马进行赌博诈骗活动。微信集通信、视频、分享等功能于一身的强大通讯社交APP,也正在被黑客利用进行赌博诈骗活动。该木马增加了参赌人员的信心,顺利让参赌人员做了一回“千王之王”。

  • 买家与黑客合伙攻击庄家之前需要对庄家的收单行为进行风险评估,以降低被发现的概率。

  • 黑客针对访问宣传网站的人,私自收集用户的手机号码,发送精准营销短信。

  • 黑客会给买家发送一条Android木马的下载链接,让买家骗庄家安装,一旦成功安装,Android木马对设备的使用没有任意影响,并且无图标,庄家无法感知。

  • 买家随时随地使用短信或网络控制指令,修改庄家手机中的任意短信内容。

  • 使用苹果手机的庄家,买家让黑客生成一条可修改的彩单链接,预先将该链接以微信的“分享给朋友”功能分享给庄家。分享后所看的聊天记录与正常的聊天记录表面上区别不大。

  • 买家修改后台彩单图片或文字,达到修改庄家微信聊天记录的目的。

名词解释

私彩:包括但不限于地下六合彩等违法博彩活动

彩单:具体的私彩号码

庄家:地下六合彩坐庄的人,接受别人在他这里下注

买家:购买私彩的人

改单者:提供修改短信/微信聊天记录服务的人

关键词:私彩赌博、聊天记录修改、Android木马、钓鱼、远程控制、隐私窃取

0x01 网络赌博发展简介


赌博是一种拿有价值的东西做注码来赌输赢的游戏,是人类的一种娱乐方式。虽然任何赌博在不同的文化和历史背景有不同的意义,但是它们都是利用人们以小博大、好逸恶劳、一夜暴富侥幸心理,最终往往都是输多赢少,甚至血本无归。

一、地下六合彩简介

六合彩【2】是香港唯一的合法彩票,是少数获得香港政府准许合法进行的赌博之一,从1975年开售乐透式彩票多重彩,取代原先的马票,由香港赛马会代为受注,现已改由香港赛马会以香港马会奖券有限公司的名义接受投注及开彩。香港政府和香港赛马会从来没有于香港以外地区开设投注业务,亦没有委托任何人或组织进行相关业务。因此,中国大陆所有以“香港六合彩”、“香港赛马会”、“香港马会”或类似名目进行的六合彩活动,均为假冒。另香港赛马会的官方网站于中国大陆是不能登入的,因此声称能在中国大陆可以直接登入的六合彩网站,均属假冒网站。

我国刑法第三百零三条规定:以营利为目的,聚众赌博,开设赌场或以赌博为业的,都以赌博罪论处。处3年以下有期徒刑、拘役或者管制,并处罚金。我国大陆禁止任何个人和组织经营六合彩,在政府的大规模严历打击下,“六合彩”也因此而转移到地下,俗称“私彩”,私彩指的是私人作庄的地下六合彩【3】,它的形式多种多样,包含但不限于地下六合彩。是假冒香港的六合彩号码招来的赌博活动,私彩的投注金额从几十至几千元不等,赔率更视庄家的财势而定,有很多纯粹是诈骗金钱。六合彩在香港地区属于合法的,但在大陆是禁止任何个人和组织经营香港六合彩的。然而在2000年左右,内地却有些不法之徒自己坐庄,玩起了香港六合彩。

二、传统私彩赌博介绍

由于内地的“六合彩”和香港的六合彩并无实质联系,只是利用了香港六合彩开出的号码和其名声,由庄家及其合伙人以不公开的地下联络方式进行押注或购“码”而全程控制操作来牟取暴利。公众购买六合彩就是与庄家赌博,且决无胜算。

通常私彩庄家为推动买家买码的热情,可能给出比香港六合彩更高的赔付标准,在1~49这49个数字中有一个数字为中奖号码,这个数字称为“特马”,参与者买中了“特马”,则会得到1:40的奖金,庄家还通过非法自制印刷“马报”(香港赛马和六合彩的新闻报纸),并包装成各种所谓的“玄机图”出售或免费发放。由于赔付巨大,庄家还会营销幸运者,通过幸运者的榜样作用,激发人们的热情,加大押注,扩大范围。

传统私彩一般通过线下的方式交易,下单和兑奖。通常存在于城中村,市区近郊及工厂周边。如出现巨奖,常常出会现庄家跑路,无法兑付。因此存在较多的不稳定因素。国家对这种场所的赌博一直保持高压态势,于是出现了私彩赌博交易的方式。

传统私彩赌博人员结构采用典型的金字塔型。顶端的庄家从小庄家那里收单,开彩,通过各种欺骗推动彩民赌博,小庄家则负责抄单及整理从抄单者那里收取的钱和彩单。抄单者一般是隐藏在各个城乡结合地,工厂附近,负责把收集的彩单和钱给小庄家,并从中收取抄单分成。

【图1.1】传统私彩赌博角色划分

三、新兴网络赌博介绍

(一)赌博类相关数据分析

赌博类信息通常使用伪基站、社交媒体、宣传网站等各种渠道传播,根据360互联网安全中心最新发布的《2016中国伪基站短信研究报告》【4】显示,赌博类短信主要集中在四川、重庆等地。

【图1.2】伪基站短信类别地域分布

四川地区赌博类伪基站短信占比24.7%,居首位,而广东、重庆分别以22.8%和16.6%位居其后,而其他地区则明显较少。

【图1.3】赌博类伪基站短信省级区域Top10。

(二)通过电脑的方式在网站上赌博

新兴的网络赌博由线下转为了线上,通常使用电脑完成,例如:庄家提供多个平台,每个平台由不同的代理来发展赌博人员,给赌博人员分配账号,买家通过汇钱到该平台获得赌注,并在该平台上进行在线赌博,一般赌博平台可进行资金提取,但提取时都会有最低限额或最高限额。这其中也不乏一些骗子,在赌博人员汇完款之后资金提取慢,拖延,甚至账号被直接删除。由于赌博本身违法,买家不能通过正常的渠道追回损失。

【图1.4】传统网络赌博结构图

(三)通过移动端社交平台进行私彩赌博

社交平台方式一般是由买家通过短信或社交软件的形式把彩单直接发送到庄家手机来进行投注。待开奖后,根据聊天记录中的彩单进行兑奖。这种方式非常隐蔽,庄家不用像以前一样手写抄单给公安机关留下证据,兑奖时也是直接查看聊天记录,下注与兑奖以网络转账的形式进行。一切操作均在手机上完成,不易留下痕迹,给公安机关调查和取证带来极大不便。

【图1.5】移动端社交赌博流程图

(四)传统平台与移动平台对比

【图1.6】传统私彩赌博与新型社交平台赌博对比

0x02 移动社交平台赌博带来买家的“春天”


由于传统线下的赌博方式容易遭到打击,私彩的运行模式逐渐由线下转为线上,在电脑上进行私彩下注。然而这种方式常常伴随着诈骗,骗一个是一个的情况很常见,由于存在赌注无法兑付的风险,买家往往都抱着观望和怀疑的态度。随着移动互联网的兴起,渐渐的移动端开始出现私彩赌博的踪迹。在出现移动互联网博彩之前,买家往往输多赢少。但是,根据360烽火实验室最新追踪发现,在移动互联网上博彩的买家,输多赢少的局面似乎发生了一些微妙的变化。

一、黑客盯上地下六合彩

随着移动互联网的兴起,为地下私彩躲避打击提供了有利的平台。线下庄家开始提供直接在短信或社交平台上下单,通过聊天记录进行兑奖的服务。由于这种方式操作简单,传播速度快,兑奖方式简便,受到线下庄家及买家的欢迎。

在庄家提供以上服务的同时,黑客也开始参与进来,由于移动互联网私彩的中奖的关键是聊天记录,黑客们开始声称他们能修改发出去的短信和微信聊天记录,将原本没有中奖的彩单,改成中奖号码。该技术受到买家的欢迎,并纷纷开始与黑客合作。该技术方法最早可追溯到2014年4月,利用软件修改短信聊天记录的当时标价在5~8万元左右,修改社交平台聊天记录的,黑客与买家对获利进行三七分成,只有大客户才能享受。经过2年的发展,修改短信记录的软件标价已跌落至5000元左右。但社交平台修改聊天记录还是存在,根据最新追踪发现,黑客可以从高级客户那里赚取每单至少1.5万元的分成。

【图2.1】分成模式

二、移动互联网常规私彩赌博步骤

通过调查发现,买家通过短信方式或者微信等聊天工具将彩单发送到庄家那里下注,并通过网络或线下的方式把钱转给庄家。等开奖时,庄家对照买家的彩单,进行兑奖。

【图2.2】一般私彩赌博步骤

三、黑客与买家“合伙”攻击庄家简要步骤

买家首先确定下注的号码并向黑客提出彩单修改的需求后,可以有以下两种方式实施攻击。

(一)利用短信

黑客向买家转发一条Android木马的下载链接,买家再将此链接转发给庄家。一旦买家安装上,即可潜伏。等到开奖时,通过短信、网络指令修改彩单。

(二)利用微信

黑客向买家转发一条经过处理的彩单微信消息,该彩单转发买家后,即可潜伏。等到开奖时,通过网站后台修改彩单。

【图2.3】黑客与买家定向攻击步骤

0x03 黑客与买家的“合作”


在找到合适合作对象之前,黑客对他所具有的技术要进行宣传和营销,以便告诉买家该技术的真实性。

【图3.1】黑客是如何和买家走到一起的

一、黑客如何获取有需求的客户

(一)建立自己的官方网站

黑客网站常常伪装成正常网站,并看上去很正规,但内容却只有懂的人才知道,黑客网站上有较为详细的操作教程,以及联系方式。以便买家快速了解。

【图3.2】宣传网站之一

【图3.3】宣传网站之二

(二)寻找目标人群精准投递

1)当买家使用手机通过搜索引擎搜索到黑客的官网地址并打开访问时,黑客主页中的窃取隐私的代码即运行。

【图3.4】手机号码窃取代码

2)经过层层分析发现,最终会通过访问WAP手机网站泄露了买家的手机型号及手机号码。

【图3.5】手机号码泄露数据包

【图3.6】手机号抓取后台截图

3)随后的几天之内,买家就会收到黑客的精准营销短信。

【图3.7】改单者发送的精准营销短信

4)录制宣传视频广泛传播

【图3.8】改单者的宣传视频

5)借助论坛发帖兜售

【图3.9】改单者出售改单软件

二、买家如何了解到黑客技术的

(一)通过搜索引擎

买家通常使用搜索引擎来找技术提供者,通过360商易对搜索行为的分析显示,广东的买家在搜索指数中排第一,说明黑客的客户大多以广东的买家为主。

【图3.10】潜在买家分布图

(二)通过垃圾短信

【图3.11】通过垃圾短信了解赌博信息

三、攻击对象的选择标准

在黑客与买家达成合作意向后,买家需要对庄家进行进一步的筛选,以确保在诈骗过程中不被发现,所以诈骗之前的信息搜集,筛选工作很重要。

(一)手机系统决定实施的方案

庄家的手机的操作系统通常是安卓系统或苹果系统。使用安卓系统的庄家优先使用短信形式,而使用苹果系统的庄家则多采用微信形式。

【图3.12】短信形式与微信形式方案实施对比

(二)日常行为关键信息搜集

对庄家日常行为的搜集越详细越好,目的是根据庄家的行为来评估改单的风险性。

【图3.13】日常行为关键信息决策图

0x04 诈骗步骤及相关技术揭露


通过前期的准备工作,了解庄家收单行为后,确定了要实施的方案,就可以开始进行定向攻击了。下面将对这几步攻击步骤及其技术实现进行详细揭露,定向攻击的场景分为短信和微信两种形式,两种的实施方式有明显的差异。

一、使用短信攻击关键技术揭露

(一)发送Android木马下载地址短信

如果庄家使用的是Android操作系统手机,买家会先通过短信或微信的方式发送一条Android木马下载链接给庄家,随后通过短信,微信等方式诱导庄家安装Android木马。一旦庄家装上该木马,木马随即进入潜伏状态,即完成诈骗过程的关键一步,类似诈骗短信如下图。

【图4.1】木马下载地址短信

根据360烽火实验室对该木马感染情况的分析,广东地区被感染的用户最多。

【图4.2】感染庄家分布图

这种手法的诈骗短信,我们在之前FakeTaobao系列木马【5】的分析中也进行了详细的揭露。是目前移动场景上对用户影响最大的一类诈骗短信。

(二)潜伏期的Android木马功能点分析

潜伏期的木马,对手机的正常使用没有任何影响,且无图标,用户无法感知。

功能一:远控功能

木马集远程定位、上传短信、新短信监控等功能于一身,功能全面足以监控庄家的一举一动。而这所有功能的操控又可以分为短信指令,和网络后台的方式。

【图4.3】短信指令与网络后台指令对比

1)短信指令形式修改短信代码

【图4.4】短信指令修改短信代码

2)后台指令形式修改短信代码

【图4.5】网络后台指令修改短信代码

功能二:中间人攻击

中间人攻击是一种常用古老的攻击手段,并且一直到今天还具有极大的扩展空间,中间人攻击通常用于网络攻击,其目的是对信息进行窃取和篡改。然而,随着近几年移动终端的发展,移动终端越来越离不开我们的生活。移动终端存储着大量的用户隐私信息,控制了用户的手机,意味着拥有了对用户隐私完全的获取能力。

【图4.6】中间人攻击篡改数据代码

【图4.7】该场景下的中间人攻击示意图

(三)发作期的Android木马功能点分析

1)发送诈骗短信

当确定何时实施改单诈骗之后,首先向庄家下单,例如使用短信指令形式,直接将彩单通过短信发送给庄家;使用后台指令的形式,直接在黑客提供的后台操作,木马通过联网的方式,获取需要插入的彩单。在庄家手机中完成修改买家彩单的操作。

【图4.8】发送彩单代码

2)开彩后改单

开彩后,当确定需要修改的内容后,迅速发送一条控制短信给庄家手机上。由于这个时候是庄家最忙的时候,不容易被发现。

控制短信格式:#{原短信内容}#{修改后的短信内容}

【图4.9】替换内容代码

3)短信修改方式揭秘

短信修改是匹配关键字的形式,在成功匹配到指定关键字的短信之后,随即使用新的内容替换该关键字。

【图4.10】修改短信代码

4)修改短信彩单效果前后对比

修改后的短信,除了内容被修改以外,其它比如短信接收时间,发送号码,均未更改,尽可能的做到了隐秘修改,降低被发现的风险。

【图4.11】修改短信彩单效果对比

5)收集新短信,全面监控庄家短信来往

【图4.12】监控新短信来往并上传

二、使用微信攻击关键技术揭露

由于微信改单无需安装软件,跨平台的特点,比较适合攻击使用苹果手机的庄家。价格也比较高,大多采用黑客与庄家分成的模式,或者直接卖后台账号的形式来获利。

(一)微信彩单形式

1)图片形式

【图4.13】图片式假彩单

2)文字形式

【图4.14】文字式假彩单

(二)图片和文字假彩单的制作过程

当买家购买了黑客的服务,采用分成模式后黑客会全程参与诈骗过程,采用卖后台账号模式的会直接提供后台账号及后台使用方法。买家操作和黑客操作步骤并无区别。只是操作熟悉程度的差别而已。

步骤一:首先,买家将需要买的号码写在纸上,再拍照片上传到后台,如使用文字形式,直接复制文字到后台即可,通过后台制作出一张可修改的假彩单,并生成链接。

【图4.15】假彩单制作后台截图

步骤二:点开该链接,使用分享功能,将图片分享给庄家即可。

【图4.16】假彩单后台生成的链接

至此,假彩单已制作成功并发送至庄家手机。

(三)可修改的彩单在微信中的展现

【图4.17】假彩单形式展现

(四)图片式可修改彩单与正常彩单的展现对比

无论是正常彩单还可修改的彩单,用户往往都会点击查看大图,正常彩单直接显示图片,且打开速度快。而修改的彩单点击后会在微信内嵌浏览器中显示图片,图片打开速度由网络速度决定。

【图4.18】可修改图片彩单与正常图片彩单对比

(五)文字式可修改彩单与正常彩单的展现对比

文字形式的彩单也和图片彩单一样,同样是一个链接。

【图4.19】可修改文字彩单与正常文字彩单对比

(六)假彩单的真面目

假彩单其实是一个链接,由于在微信上展现的效果和正常的聊天记录区别不大,在微信中点开后,不容易甄别,实际上打开的是微信内嵌的浏览器。连接到黑客的服务器上,黑客将服务器上面的彩单改成中奖号码之后,庄家确认买家彩单是否中奖时,会点开查看。

【图4.20】假彩单的真面目

点击聊天记录中的彩单,实际访问的是假彩单提供网站的地址:hxxp://www.yucituan.com/Info.asp?itemid=4097&from=message&isappinstalled=0

根据对网站的分析,网站使用了微信的分享功能中“分享给朋友”功能,该功能微信官方JSSDK【6】开发文档说明如下:

【图4.21】微信JSSDK”分享给朋友”官网说明

网站将分享的标题和描述设置为空,导致如不仔细甄别,很有可能混淆正常聊天记录。

【图4.22】假彩单提供站微信分享代码

0x05 后续追踪


使用微信JSSDK开发分享功能,需要在微信后台绑定域名,并且域名是需要备案的。在追踪域名服务器位置信息时,我们发现两个假彩单提供站的服务器IP为同一个。说明黑客正在利用不同的身份注册域名,以逃避打击。

一、假彩单提供站域名基本信息

【图5.1】假彩单域名对应IP地址

【图5.2】IP对应位置信息

二、假彩单提供站yucituan.com备案信息

【图5.3】假彩单提供站备案信息一

三、假彩单及网站控制后台cckaisi.com备案信息

【图5.4】假彩单提供站备案信息二

四、改单技术宣传网站域名信息

【图5.5】改单技术宣传网站

引用

【1】 最新刑法全文

http://www.66law.cn/tiaoli/9.aspx

【2】 六合彩简介

http://baike.so.com/doc/5348413-5583866.html

【3】 地下六合彩

http://baike.so.com/doc/831074-878972.html42016

【4】 中国伪基站短信研究报告

http://zt.360.cn/1101061855.php?dtid=1101061451&did=1101741409

【5】 FakeTaobao家族变种演变

http://blogs.360.cn/360mobile/2014/09/16/analysis_of_faketaobao_family/

【6】 微信JSSDK”分享给朋友”使用说明

http://mp.weixin.qq.com/wiki/7/aaa137b55fb2e0456bf8dd9148dd613f.html

评论

路人甲 2016-06-03 11:11:33

卧槽

路人甲 2016-06-03 11:16:43

666666

路人甲 2016-06-03 12:22:58

666,黑产无孔不入

路人甲 2016-06-13 16:24:33

好屌

3

360安全卫士

360安全卫士官方账号

twitter weibo github wechat

随机分类

企业安全 文章:40 篇
数据安全 文章:29 篇
漏洞分析 文章:212 篇
Java安全 文章:34 篇
iOS安全 文章:36 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录