针对韩国长达5年的跨境网络电信诈骗

阅读量384276

发布时间 : 2018-12-25 16:17:47

作者: 360烽火实验室

概要

电信诈骗自诞生以来并迅速发展蔓延,诈骗手法也随着科技发展不断更新,而随着Android设备的普及,诈骗手法进一步升级,Android木马也开始被应用于电信诈骗,360烽火实验室对此类木马保持着持续的关注,早在2016年就发表了一篇针对网络电信诈骗的报告《深入分析跨平台网络电信诈骗》,深入分析还原了跨平台网络电信诈骗的整个过程。

近期,360烽火实验室捕获到了一个针对韩国的跨境网络电信诈骗木马家族,该家族自2013年活跃至今,最初伪装成一些韩国工具类应用,后期伪装成韩国金融贷款类应用,通过窃取受害者短息、通话记录、联系人,并劫持受害人的电话实施电信诈骗。进一步分析表明,木马作者的母语非韩语,主要通过钓鱼网站发起攻击,钓鱼网站服务器分布在韩国境外,并且该家族样本数量在重大节假日前后会出现一个较大的波动。我们根据其包名和代码特点,认为该家族存在两个分支,并将其分别命名为SmartSpy和HelloxSpy。

 

跨境网络诈骗

跨境网络电信诈骗不仅兼具传统电信诈骗具有迭代迅速,手段多元,涉众广泛,欺骗性强等特点,更重要的是跨境网络电信诈骗远涉海外增加了侦查难度。

诈骗目标明确

我们统计出该家族伪装应用名TOP10榜单(见图1),发现其主要伪装成韩国金融行业相关应用和工具类应用,据此推测该家族攻击目标为韩国用户;进一步分析后,发现其运行界面均为韩文,进一步说明攻击目标为韩国用户。

图1 伪装应用名TOP10榜单

基础设施部署

通过分析该家族木马,我们推测该家族木马所属的诈骗组织在韩国境外。

  1. 样本中的log信息包含中文,并且某些资源命名方式使用了拼音(图2);

图2 使用中文和拼音

  1. SmartSpy的源码在2016年底被上传到github上,根据该作者其他项目中的信息表明开发者非韩国人(图3);

图3 木马结构和源码结构

  1. 该家族钓鱼网站相关的服务器主要分布在韩国境外,如图4。

图4 部分钓鱼网站的APP下载地址

诈骗手法隐蔽

与传统的诈骗不同,利用木马进行拦截转拨受害者电话进行诈骗的过程中,受害者在最初对拨打的电话就保持信任状态,诈骗成功率会大大提高。下面我们将展示SmartSpy和HelloxSpy家族的诈骗过程的一些细节。

  1. 通过各种手段将钓鱼网站发送给韩国用户,图5为部分钓鱼网站;

图5 钓鱼网站

  1. 用户访问钓鱼网站并下载安装木马,图6为木马运行后的主要界面;

图6 木马运行界面

  1. 木马运行后窃取并拦截短息、电话,伪造通话记录;并伪造拨号界面对特定的号码进行拦截转拨,然后实施诈骗,受害者在整个过程中基本无感知。图7展示了拦截转拨电话的原理;左图为正常的拨号界面,中图为拦截转拨后的拨号界面,右图为半透明拦截界面,红框标记的为实际拨打号码,蓝框标记的为受害者看到的拨打号码。

图7 拦截电话原理

 

样本分析

该家族木马最早出现在2013年,其中在2017年出现HelloxSpy分支,并活跃至今。核心手法都是通过拦截并转拨受害人电话实施诈骗。从木马功能演变来看,木马核心功能基本稳定,后续版本主要进行针对Android系统版本适配、资源更新以及杀软对抗。

功能演变

该家族木马的主要功能演变过程见图8;

图8 功能演变

SmartSpy和HelloxSpy对比

  1. 功能列表对比

图9 功能列表对比

  1. 相同功能实现方式对比

图10 相同功能实现方式对比

  1. 运行界面对比

图11 运行界面对比

样本数量变化

根据该家族每月样本量变化情况制作了图12所示比折线图,可以发现每年的春节和中秋节前后会有一个较大的增长量,结合韩国的重大节日情况(中秋节和春节为韩国最大的节日),说明重大节日前后是电信诈骗的高发期。而且可以发现HelloxSpy更新更加频繁,所以我们认为HelloxSpy将会是这一家族未来的主力军,也值得我们投入更多精力关注。

图12 每月样本量对比

 

总结

跨境网络电信诈骗远涉海外,使得不论是侦查摸排、证据采集,还是追缉抓捕、人员遣返,甚至是简单的文书许可,由于与本国存在语言、法律、民俗等方面的障碍,都给赴外执法人员带来诸多难题,增加了侦查难度。而且越来越便捷的通讯与支付方式,使得网络电信诈骗这类犯罪全球化是一个必然的趋势。

随着年关将至,电信诈骗也将迎来一个高峰,为了避免网络电信诈骗遭受的各种财产损失,360烽火实验室提醒大家:

  1. 要了解电信诈骗犯罪分子的惯用作案手法和主要作案手段,掌握防骗常识;
  2. 加强自我防范意识,不要轻信陌生人的可疑电话、短信等;
  3. 使用正规应用商店下载应用,避免盗版应用导致隐私泄漏;
  4. 一旦被骗,应及时向公安机关报案,并配合做好证据保全工作。

本文由360烽火实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/168621

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
360烽火实验室
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66