国家互联网应急中心(以下简称“CNCERT”)持续对通过短信传播、且具有窃取用户短信和通讯录等恶意行为的“相册”类安卓恶意程序进行监测。近期,我中心监测发现该类恶意程序变种5424个,恶意传播该类恶意程序的URL链接3456个、恶意域名1510个,用于接收用户短信和通讯录的恶意邮箱账户1364个,用于接收用户短信的恶意手机号1182个,泄露用户短信和通讯录邮件56万封,累计感染用户超过20万人,对用户信息安全造成严重的安全威胁。CNCERT第一时间对该类恶意程序的传播地址、恶意邮箱进行处置,有效控制了恶意程序的影响范围。现将具体情况通报如下:

一、恶意程序行为分析

“相册”类恶意程序主要通过短信进行传播,黑客通过发送带有恶意程序下载链接的短信,诱骗用户点击安装。

该类恶意程序具有恶意行为:

1)运行后隐藏安装图标,同时诱骗用户点击激活设备管理器功能,导致用户无法正常卸载;

2)私自向黑客指定的手机号发送提示短信,“软件安装完毕n识别码:IMEI号码,型号,手机系统版本”和“激活成功”;

3)私自将用户手机里已存在的所有短信和通讯录上传至指定的邮箱;

4)私自将用户接收到新的短信转发至指定的手机号,同时在用户的收件箱中删除该短信。

二、恶意程序传播情况

黑产从业者通过阅读恶意程序窃取的用户短信和通讯录,可以了解身份信息、工作职务、家庭情况、社会关系和经济基础等用户个人信息,从而可进行具有针对性的诈骗攻击。为提高诈骗成功率,黑产从业者会根据目标人群制作具有针对性的恶意短信和恶意程序,冒充好友、亲属、同事、领导或公职人员等多种身份向目标人群发送恶意短信和恶意程序下载地址。

近期,CNCERT监测发现该类恶意程序使用的程序名称多达167种,具体程序名称详见附件1。其中黑产从业者使用恶意程序名称频次最多的是“相片”,占所有恶意程序的17.40%,其次是“相册”和“资料”,分别占10.52%和9.55%。此外,黑产从业者使用最多的10个恶意程序名称还有“校讯通”、“违章查询”、“照片”、“视频”、“图片”、“积分客户端”、“成绩单”。

目前黑产从业者都是利用伪基站或者手机肉鸡等设备,向目标人群发送带有恶意程序下载URL链接,通过这种方式传播恶意程序。为了提高链接的点击率,黑产从业者一般将链接进行“短链接”转化,达到与其他正常短信中的“短链接”类似的效果,诱骗用户点击。近期,CNCERT监测发现“相册”类恶意程序使用的“短链接”域名64个,其中使用dwz.cn转换的恶意链接最多,占总数26.79%,其次是使用t.cn转换的恶意链接,占总数22.00%,第三是使用renhe.cn和e1v.cn转换的恶意链接,分别占总数的6.22%。

用户点击恶意短信中的“短链接”后会重定向至恶意程序的下载链接,最终下载恶意程序文件。通过对重定向后的恶意下载链接进行分析, CNCERT监测发现这些传播“相册”类恶意程序的网站89.76%未进行备案,只有10.24%的网站进行了备案,其中22.08%的网站在境内接入,77.92%的网站在境外接入。由此可以看出,传播“相册”类恶意程序的网站具有大部分未备案、大部分在境外接入的特点。

在境外接入的恶意程序传播服务器中,位于香港的恶意服务器数量最多,占总数82.64%,其次是位于美国和日本的服务器,分别占总数的7.23%和2.71%。在境内接入的恶意程序传播服务器中,位于北京的服务器数量最多,占总数22.52%,其次是位于河南和上海的服务器,分别占总数的17.22%和13.25%。

三、恶意程序所用邮箱统计

“相册”类恶意程序会将用户手机里已存在的所有短信和通讯录上传至指定的邮箱,CNCERT分析发现该类恶意程序所用恶意邮箱账户1365个,其中“21cn.com”恶意邮箱账户数量最多,占总数35.60%,其次是“163.com”恶意邮箱账户,占总数15.84%,第三是“vip.sina.com”恶意邮箱账户,占总数9.62%。下图显示了黑产从业者使用量排名前十的恶意邮箱类型。

四、恶意程序所用手机号统计

“相册”类恶意程序会将用户接收到新的短信转发至指定的手机号,CNCERT监测到用于接收用户短信的恶意手机号码1182个,其中中国移动网内手机号数量最多,占总数72.93%,其次是中国联通和中国电信,分别占25.55%和1.18%,最后是虚拟运营商,占0.34%。

按照手机号码归属地统计,此批恶意手机号码分布在全国19个省、自治区和直辖市,其中归属于广东的恶意手机号最多,占总数68.57%,其次是归属于北京的恶意手机号,占总数8.59%,第三是归属于江苏的恶意手机号,占总数7.37%。

五、处置措施

CNCERT分析确认“相册”类恶意程序的影响范围后,立即启动针对该恶意代码的处置工作。协调中国电信、中国移动、网易公司、新浪公司、阿里巴巴公司对恶意程序所用于接收用户信息的1364个恶意邮箱账户进行关停处理,切断了黑客窃取用户信息的途径。

CNCERT 将继续跟踪事件后续情况。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。

附件1. 恶意程序名称列表

视频

資料

2016积分系统

违章记录

相片

违章查询

资料图片

资料MI

建行控件

照片

校讯通

文.档

资料

手机相册

校园网ZN

资料BF

电子请帖

材料

图片

成绩单

爱奇艺

私人相册

中国移动

相片IB

爱奇艺视频

移动客户端

请柬

摇晃唤醒

单子存放

录像

测试

学生成绩

相册

照片视频

积分客户端

电子喜帖

校园网

资料ED

成绩资料

聚会照片RA

合照

合影照片

e校通

成绩表

校园通

设计图

聚会

10086

体验单

影像

您的 校讯通-

喜帖IN

相片QF

聚会相册

缘聚

相关资料

相片IE

校园网VR

电子请柬

农业银行

文件

学·生·资·料

电子资料文本

资料BG

资料BE

照片AT

圖片

资料QJ

资料WK

资料UX

交通违章查询

相册跟电话

详情

2016相册

相册谱

通知

p请-柬p

移动积分

請柬

校讯通EL

详细订单

请`帖

建行客户端

简历

文件资料

[电 子 请 柬]

资料GB

交通违章

和校园CX

校讯通IL

照片JF

聚缘

视频TT

照片WX

单子详情

名单

聚会相片

资料IB

资料FP

查看图片

资料相册

校园投票

积分兑换

考勤表

X P.-

视频NI

请帖

综合成绩单

绯闻

照片OZ

学生资料

资料RK

结婚请柬

资料裸照

相x片

喜帖

掌上营业厅

综合测评

违章

房子資料

附件

相册管家

结婚照

资料GY

photo

违章查询CX

聚会照片

校园网CX

体检单

照片LC

资·料

视频图像

工行激活兑换

移动安全控件

图表

体验报告

资料

[资 料、

聚照

校讯通SJ

相关.资料

資料表

资料YK

合影相片

结婚请帖

文档

资料PS

校.讯通

校讯-通

学校考核

资-料

电话相册

资料E

资料EU

资料档

相片JS

聚会照片EA

资料RA

微校网CX

照片EO

[私密的相册]

照片QN

资料MH

客户端

聚会合照FP

校讯通IW

文档资料