面向反通讯诈骗的手机木马监测封堵和查证

2017年第7期 信息通信2017
(总第 175 期）INFORMATION&COMMUNICATIONS(S u m.N o 175)
面向反通讯诈骗的手机木马监测封堵和查证
李旭东^林华2
(1.中国联通山东省分公司网络与信息安全部;2.山东省出版集团有限公司发展规划与科技工作部，山东济南250000)
摘要：通讯信息诈骗已经引起社会的广泛关注，通过短信木马链接手段的诈骗危险性非常大，文章在分析手机木马诈骗骗术技术链条的基础上，提出了可采取的对治技术手段，并在对相应的技术措施与手段的实施进行了详细的论述。

通过这些技术对治手段可有效加强对手机木马诈骗的治理，减少人民群众的财产损失。

关键词:通讯诈骗;手机木马；监测封堵
中图分类号:TP309 文献标识码:A 文章编号:1673-1131(2017)07-0056-03
M onitoring and blocking of mobile Trojan for anti communication fraud
L i Xudong^Lin Hua2
(1 以漁被a n d i n fo rm a tio n s e c u r it y d e p a r tm e n t S h a n d o n g b ra n d y C h in a U nitedNetwak C o m m u n ic a tio n s C o_Ltd J in a n 250002S h a n d o n g C h in a;
2.S h an don g publishing group co., LTD., development planning a n d technology oriented d ep a rtm en t, J in a n250001, S h an don g, China)
Abstract: Fraud of communication information h as caused the wide attention of the society. Fraud which is reached by m eans of SMS Trojans links is becoming more and more dangerous. On the basis of a nalyzing the operating chain of t he mobile Trojan fraud, the author d p uts forward the corresponding technical m easures of governance. In the article the implementation of the corresponding technical m easures and m eans were described in detail. Through these technologies the management of mobile Trojan fraudcanbeeffectively strengthened so a s to reduce people's property loss.
Keywords:Communications fraud, Handphone Trojan, Monitoring and Blocking
〇引言
一系列的通讯信息诈骗案引起社会的广泛关注，国家近 期也开展了打击治理电信网络新型违法犯罪专项行动'在警方发布的电信诈骗案例中，有点击未知链接遭遇木马病毒,“幸 运礼包”诈骗老人，冒充公检法机关诈骗，以及用挂机赚钱软 件实施诈骗等，由于木马链接病毒可通过伪基站隐蔽成不同 内容的短信发送给手机用户，用户很容易中招，危险性非常大，因此如何有效治理是需要探索的问题，本文作者从手机木马 监测封堵和分析查证等方面对治理工作进行了深入的探讨。

1手机木马诈骗骗术分析
在公安部门发布的常见诈骗术中涉及手机木马的骗术如下：
骗术1，短信暗藏木马链接。

诈骗分子诱使手机用户点击 诈骗短信中的链接，该链接将木马病毒植入用户手机，用户点 击链接后，诈骗分子可以盗取大量隐私信息和密码。

目前常 见的手段有，冒用相册的、冒充孩子班主任、冒充航空公司通 知、冒充交管局违章通知、冒充代办信用卡等。

骗术2,冒充通信运营商客服电话。

诈骗分子冒充通信运
AC4B6_HDS_1 <= ARM_NOE;
AC486_HDS_2 <= ARM NPW;
AC486_HNRW <= ARM_NPW;
AC486_HPISEL1 <= ARM_ADD(20);
AC486 HPISEL2 <= ARM_ADD(21);
ARM_Data(15 downto 8)<=AC486_DataBus(7 downto 0) when (ARM_NOE=，0, and AC486_CS=，0，）
Else (others =>’Z’ )；
ARM_Data(7 downto 0)<=AC486_DataBus(15 downto 8) when (ARM_NOE=，0, and AC486_CS=，0，）
Else (others =>'Z');
AC486_AddBus(l 8 downto 0) <= ARM_ADD(19 downto 1);
AC486_CS<=, 0, when ARM ADD (25 downto 22)=“1000”andARM_CS3=，0 else ‘1’ ；
ARM_nWAIT<= AC486_HRDY when ARM_ADD(25 down­to 22) =,,1000,,andARM_CS3=,0 else 'V;
4功能验证
采用Spirent公司的AbucaslOO呼叫模拟器，结合信道传 输和语音接口模块，对群路声码器的功能进行了测试。

采用 12路模拟呼叫，12路模拟接收，每30秒呼叫一次，测试1小 时，测试结果呼通率为100%。

用户进行实际话机测试，进行主观话音通信质量评价，话音清晰可懂。

5结语
采用PXA270+AC486+FPGA的设计方案，通过FPGA和 PXA270中软件的灵活配置，该群路声码器具有小型化、可靠
性高、扩展性强等优点。

一条2.048MhzPCM总线最大支持
32路语音复接数据，可在本设计的基础上，通过嵌入式linux
动态链接库技术，在PXA270上映射不同的地址空间，驱动2
片AC486芯片，实现32路群路声码器。

AC486芯片支持VOIP
标准，可在应用程序中，调用R TP组包和解包接口函数，实现
语音网关和语音数据的IP标准化接入。

参考文献：
[1]孙潜.基于PXA270开发板的Linux的移植和研究[D].青
岛大学,2008.
[2]张力,段喜凤.专用网中AC48624芯片的软件实现[J].无线
电工程,2005,6(35) :57~61.
[3] AC486xx Voice Over Paceket Processor Data Book Ver-
sionl.01 2003.
作者简介:徐康(1985-),男,工程师，主要研究方向:卫星通信
语音接入，声码器,综合业务信息处理。

56
营商短信通知积分兑换，并通过“伪基站”伪装成通信运营商 的客服号码群发诈骗短信，诱惑用户下载安装一个带有木马 病毒的APP,再通过这个安装在用户手机上的假移动掌上客户端，盗刷用户银行卡B]。

从这些手机木马的典型骗术中可以看到其诈骗的技术链 条如下:手机木马开发、搭建手机木马控制端环境、通过“伪基 站”等发送伪装短信、中招用户点击链接下载木马、木马安装 运行、信息泄露、成功盗取钱财等。

针对这一技术链条中可采 取应对技术手段如下:①查到木马控制端的安装设备并铲除;
②监测诈骗手机木马的传送通道，对监测到控制端URL、IP等 进行封堵，切断其传播途径;③截获木马程序对其进行分析以 提取有效破案和处置线索。

针对第一种手段需要警方配合进行现场操作，并且由于 诈骗分子往往将控制端安装在境外，铲除难度大，因此在本文 中不做重点论述。

第二种技术手段需要通信运营企业在通信 网中布置监测和封堵设备，可以快速有效阻断手机木马的传 播和诈骗的实施。

第三种技术手段可以通过对截获的手机木 马代码进行分析，达到为警方提供破案线索、取证的目的，并 及时查获诈骗分子已经获取的资料信息等。

因此本文主要针 对后两种技术手段进行阐述。

析各种网络协议（HTTP、W AP、M M S、SM TP、POP3、FTP 等)，发现其中的网络行为、还原样本文件;根据检测规则，实 时检测病毒、木马等活动事件;实时抓取疑似样本，样本留存；根据检测规则，实时检测地址信息(IP、域名、U RL),发现隐藏 在网络上的手机木马软件控制和传播源头。

对还原的疑似样本进行扫描，包括 sis、sisx、jar、apk、cab、exe、ipa、deb、pxl、x a p等软件格式。

对WAP P U SH消息实时检测，通过特征库规则更新,特征库接口机与云端特征库服务器通过加密协议保持通信，及时接收云端特征库下发的特征更新，并应用到 检测设备上。

2.2手机木马的封堵
在移动分组通信网的Gi 口上布署封堵设备，并对Gi 口流量中的应用数据进行实时监测，根据预制的黑名单，对域名 和U RL进行匹配，匹配成功后,封堵设备发送特定的TCP reset 数据包，对原会话进行双向的拆链式阻断。

阻断成功后，终端 将不能正常接收到服务器返回的网页内容，服务器也不能收 到终端的正常返回信息。

封堵系统需提供管理功能，对手机 木马的封堵设备实施配置管理、故障管理和流量监测,通过集 中式的管理可将相应的配置参数、封堵策略（黑名单)和升级
2手机木马的监测封堵
2.1手机木马的监测
对手机木马的监测需要在现有移动互联网络上布署相应的监测系统。

以3G W C D M A移动分组通信网的架构为例，如 图1所示：
图1移动分组通信网的典型架构图
监测系统通过对Gn 口码流监测，实时监测恶意事件、捕 获手机木马等的恶意样本、发现用户感染情况。

系统架构示 意图如图2:
输入校块
协议村换过滤分流
W处邱梭块
E th v m et T C P/U O P
检测M l笮
安个妝测IPi也川溯iK t
输出飧块
水丨汾水
图2移动互联网恶意软件监控系统监测和封堵系统架构示意图该架构同时支持单向和双向流量病毒流量监测,支持包检测、流检测、文件检测。

其中包监测、流检测支持：实时解版本自动下发至指定的封堵设备或所有符合条件的封堵设备。

封堵功能不会对黑名单以外的访问不会产生影响。

封堵操作
如图3所示。

图3 U R L封堵
3手机木马的查证
反诈过程中，在监测封堵的基础上,如何借助技术手段通
过对手机木马的分析查证，获取更多的信息来为破案提供线
索和证据呢？这主要通过手机木马运行文件的提取和通过反
编译等技术手段的查证来获取有用信息。

3.1提取手机木马
可采用如下几种方法[3]。

(1) 用浏览器直接下载。

通常犯罪团伙会以短信的形式, 加一段欺骗性、诱惑性的语言让被害人点击其提供的网址，当
被害人点击这个链接时手机会自动下载并安装远程控制木马，
如果被害人能够及时提供短信内容，特别是信息中的钓鱼网
址，则可以通过电脑浏览器输入钓鱼网址下载诈骗团伙用于
作案的手机木马。

(2) 直接从手机中提取安装包。

可以借用adb命令通过安 装路径提取,adb是安户端/服务器管理程序，可将adb运行程
序拷贝在P C中，并在P C中安装手机的连接驱动，将手机打开
U S B调试模式，然后在P C中运行adb即可对手机进行管理和
操作。

通过adb devices指令确认手机是否已正常接入，然后
进入adb shell通过pm list packages指令列出所有安装的应用
程序列表，找到目标远程控制木马程序，通过指令pm path“木
马程序名”查出其安装的路径，通过指令adb p u ll将手机中的
木马程序提取到电脑中。

例举adb中pm path指令操作如下图：package:c o_.baidu•searchbox_huawei
HUNXT：/ $ p r a path jp.c o.canon.ic.o o s.oosrenot«
pm path j p.c o.canon.ic.e o s.eosr«noto
package：/data/app/jp.c o.canon.ic.e o s.eosromote-1/base.apk HMNXT：/ $_______________________________________________________
图4 adb操作截图
57
(3) 将apk下载地址复制到下载软件中下载木马apk文件。

(4) 也可通过一些手机的管理软件等实现此功能。

在实际应用时，可多种方法尝试使用，最终可找到能成功
提取手机木马的方式，从而为下一步进行木马程序代码的分
析提供源文件。

3.2手机木马反编译
对手机木马本身提取破案信息和证据时，可通过静态、动态等的技术分析确定，并提取到可能存在的相关信息，如：控制端回传的手机号和邮箱地址、密码以及木马编写者的信
息等。

Android A P K文件其实是z ip格式，但后缀名被修改为 apk，通过UnZip解压后，可以看到D e x文件，D e x是Dalvik V M executes的全称，即Android D alvik执行程序，并非Java M E的字节码而是Dalvik字节码，基于eclipse开发中src文件 夹包含有.ja v a的源代码。

静态分析技术包含有检查可执行文
件但不査看具体指令的一些技术，静态分析髙级技术主要是 对恶意代码的内部机制的逆向工程，通过将可执行文件装载
到反汇编器中,査看程序指令，来发现恶意代码到底做了什么。

交互式反汇编器专业版(IDA Pro)是由Hex-R ays发布的极其 强大的反汇编器[4。

当静态分析进入死胡同时，比如恶意代码 进行了混淆，或者穷尽了可用的静态分析技术，可以进入动态 分析，动态分析可以观察到恶意代码的真实功能。

动态高级 分析技术则使用调试器来检查一个恶意可执行程序运行时刻
的内部状态，从而提供了从可执行文件中抽取详细信息的另 —条路径。

图5 Smali2JavaUI反编译A P K文件
基于静态分析中A P K的反编译，目前主要可以利用的工 具如:dex2jar/jdgui.exe、Apktool、IDAPro和 Smali2JavaUI等，其中以Smali2JavaUI为例反编译的A P K文件，只要将要反编 译的A P K文件导入到此工具中，通过自动分析即可得到Java 源代码，如图5所示。

3.3以短信监听木马为例的静态反查证
360互联网安全中心最新发布的C2016年中国互联网报 告》中称:在截获盗取个人信息的手机恶意辦样本中，67.4% 的样本会窃取短信信息吒因此本文以短信监听木马为例论述 其静态反査证*
一个Android应用通常由5个部分组成:Activity(活动)、Broadcast Intent Reveiver(T*播意图接收者)、Service(服务)、Content Provider(内容提供者)、Intent and Intent Filter(意图和 意图过滤器)。

短信的监听木马需要用到的基本组件包括：Broadcast Latent Reveiver和 Intent•程序中通常一个 Activity 对应一个单独的界面，因此一般后台运行木马是不会用到A c­tivity，只有在显式应用上加壳或与其它显式应用打包时才会有A ctivity组件，而Broadcast组件的单独应用也是不需要提
供界面的。

深入木马的开发，若一个短信木马要实现其功能，则首先
需要在AndroidManifest注册相应的短信权限：
<uses-permissionandroid:name="android.permission.RE-CEIVE_SMS"><Aises-pennission>
<uses-pemiissi(mai)dioiid:name="android.painissi(m.KEAD_ SMS^x/ases-pramissicm〉
<iises-p0r n3issionandioid:name=''androidp0rmission.SEND_
为了实时监听到所接收到短信，一般也会重写MainActiv-
ity中的 init〇。

mSMSBroadcastReceiyer=new SMSBroadcastReceiverO;
mSMSBroadcastRjeceiver.setQnReceivedMessageListener (new MessageListener(){}
对监听到的接收短信内容可通过后台发送到指定的手机
或邮箱中。

以后台发送给指定手机为例如下：
SmsManager? sms=SmsManager.getDefault();
Intent? sentInteiit=riiewIntent(SENT_SMS_ACTION);
Pendinglnteat? sentPI=PendingIntentgetBroadcast(this, 0, sentlntent,0);
sms.sendTextMessage(phaneNumber,null,message,sentPI, deliverPI)
因此，当我们以上节所提供的方法反编译出相应的木
马代码后，就可首先査看AndroidM anifest.x m l文件看是否
提供有相应的短信发送权限，然后再看是否提供有监听短
信的函数，若有则再査看是否有固定外发某一邮箱或手机
等的运行语句。

若以上条件均具备，则基本可以判断为疑
似短信监听木马代码。

通过对外发语句的査证则可提取相
应的外发手机号或邮箱地址，从而为下一步案件的调査提
供有益线索。

4结语
通过利用现网部署的移动互联网恶意程序监测系统，
可有效配合省反诈中心进行手机木马等恶意链接的封堵和
监测处置等，从而有效打击借助于手机木马的违法犯罪活
动提供技术手段。

通过对手机木马的截获和实时分析，可
提取的有效信息如：控制端回传的手机号、邮箱地址等，在
配合瞀方及时进行封停和跟踪査获的基础上，可以有力为
配合案件的侦察提供线索，以便及时避免受害人的财产损
失。

参考文献：
[1]打击治理电信网络新型违法犯罪./
n2255079/n4876594/n5104076/index.html
[2]李子路.常见电信诈骗术提示[J].农家顾问,2016(10)32.
[3]赵鑫，郭红怡，杨晶.Android手机木马提取与分析[J].昆明
学院学报》2016,38(6):56-62.
[4] Michael SikorskijAndrew Honig著[M].诸葛建伟，姜辉，张
光凯译.恶意代码分析实战.电子工业出版社
[5] 2016年中国互联网安全报告..
作者筒介:李旭东（1972-)，山东省烟台市人，博士，髙级工程 师，研究方向:网络与信息安全。

58。