DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。

以下程式碼會將攔截到的簡訊傳送至程式內預先設定的幕後操縱 (C&C) 伺服器。

圖 2:將攔截到的簡訊上傳至 C&C 伺服器的程式碼。

其 C&C 伺服器網域經過解析之後,會對應到某個合法 ISP 所配發的 IP 位址,不過,其中有兩個位址指向惡意網站,其中一個是假冒美國駐中國大使館的網站。

此外我們也注意到,惡意程式碼的架構非常清晰且模組化,其模組名稱清楚反映了每個模組的功用:

圖 3:惡意程式碼模組 (點選可看到完整清單)。

在其他中文應用程式當中留下痕跡

而這模組化的設計,不禁讓我們懷疑這些模組是否也出現在其他應用程式當中,答案是肯定的。2015 年 7 月,趨勢科技曾經看過一個假冒的中國中信銀行 (CITIC) 的應用程式,該程式就包含了一個與前述程式用來騙取受害者姓名、身分證字號、卡號、密碼及電話號碼的模組。

 

圖 4:假冒的中國中信銀行應用程式。

不僅如此,我們還在 Google Play 上發現一個叫做「ListenSutra─聽佛」的應用程式 (一個佛教類應用程式) 同樣也含有這些程式碼,此程式出現的時間大約與前述中國中信銀行應用程式相同。

圖 5:Google Play 商店上的「ListenSutra─聽佛」應用程式。

圖 6:惡意程式碼模組 (點選可看到完整清單)。

雖然該程式含有與前述程式相同的模組,但此程式卻完全沒有呼叫到這些模組,所以也就無害。根據 Google Play 上的資訊,該程式是由一位台灣的開發人員所撰寫,而這也是此開發人員唯一上傳的應用程式。此外他還架設了另外一個網站,不過此網站最後一次更新是在 2015 年。趨勢科技已通知 Google 注意這個惡意程式。

趨勢科技依然建議一般使用者對於從非官方網站下載或由不明開發人員所提供的應用程式要特別小心。此外,使用者也應該安裝一套手機資安軟體來防範行動惡意程式。 趨勢科技行動安全防護個人版行動安全防護解決方案 都已經能夠偵測這項攻擊的所有相關威脅。

我們將此威脅命名為  ANDROIDOS_FRAUD.A,以下是其相關的所有 SHA1 雜湊碼:

  • 1a4aeb40f3b4485d3ef12152f2c5ce978a73b3c7
  • 4001ece8dcf088b1c0764bd95717b8a0190cc238
  • 8555b8201896fbbd603cd8349475d597aa4672c6
  • 8f81e5464efced2af800cff18f1a7541f3f010be
  • 909a943c8dde65de31dba2522c2a597e7165e145
  • c4b0530adfd4bef1d41d6d666439165d42f53565
  • ddd5ad81f5f09acf8f266a9cf4cc76412f98b7ba

 

原文出處:Courier Scammers Intercept Text Messages, Leave Traces on Google Play 作者:Ju Zhu (行動裝置威脅分析師)