本文由杜宇馨编译,陈裕铭、Roe校对,转载请注明。
一些SMS PVA服务允许他们的客户创建一次性用户档案或是在许多流行的在线平台上注册多个账户。这些服务可能会被犯罪分子滥用,进行欺诈或其他恶意活动。
在过去的两年中,短信(SMS)电话验证账户(PVA)服务的数量有所增加。SMS PVA服务提供了可替代的移动电话号码,客户可以使用这些号码注册一些在线服务或平台账号。这些服务可以帮助用户绕过短信验证机制,这种机制广泛应用于在线服务和平台来验证新账户。恶意行为者可以批量注册一次性账户,或者为犯罪活动创建电话验证账户。
以下的内容将给大家分享针对使用smspva[.]net的SMS PVA提供商运营情况的研究结果。
SMS PVA服务运作的基本元素
Smspva[.]net和其他SMS PVA服务具有本质上相同的关键特征:
●手机号码只供一次性使用,许多不同国家的手机号码都可以使用。
●平台用户只能要求向服务运营商预定义的特定应用程序(在某些网站上被标记为“projects”)发送短信。
●不提供电话号码的长期租赁。
图1 选择SMS“projects”的下拉菜单,用于smspva[.]net用户
这个特定的SMS PVA服务提供商能够维护多个不同国家的移动电话号码。值得注意的是,维护这些号码的成本超过了向客户收取的服务费率——那该服务是怎么继续进行业务运营的呢?
用于拦截短信的恶意Android应用程序
在我们的研究过程中,有证据表明,这种特殊的SMS PVA操作是建立在感染了短信拦截恶意软件的Android手机上的。我们通过API URLs和网站本身研究发现smspva[.]net的API名称和功能是唯一的,但是正如我们在图2中看到的,enjoynut[.]cn的子域名lm.enjoynut[.]cn上有一个非常类似的网站。
图2 smspva[.]net (左)和lm.enjoynut[.] cn(右)截图对比
Smspva[.]net和lm.enjoynut[.]cn拥有相同的登录页面和相同的logo,以及相同的API文档。通过比对两个域之间的用户流量,我们发现smspva[.]net能接收到流量要多得多。因此,我们认定enjoynut[.] cn被用作测试服务器,而smspva[. ]net是生产服务器。
enjoynut[.] cn是一个核心,因为该域被多个Android恶意软件变体所使用。
图3 使用速度-时间(VT)图对工件进行旋转
图中的DEX文件sha1哈希值为e83ec56dfb094fb87b57b67449d23a18208d3091,我们检测到它是AndroidOS_Guerilla恶意软件的变体。这个特定的DEX文件使用cardking.ejoynut[.]cn作为调试命令和控制(C&C),并使用sublemontree[.]com作为C&C的产出,如下图所示。
图4 cardking.enjoynut[.]cn用于调试C&C和sublemontree[.]com被用来生产C&C
该DEX文件用于拦截受感染的Android手机收到的短信,并根据C&C接收到的正则表达式(regex)规则进行检查,然后向C&C发送与正则表达式匹配的任何文本消息。
图5 拦截短信的代码
图6 通过WebSocket从服务器接收正则表达式的代码
图7 用于发送与所提供的正则表达式匹配的文本消息的代码
使用这些代码片段和C&C流量作为指纹,我们能够识别出另外两个具有相同功能但不同C&C的DEX文件,这表明 Android 恶意软件的开发过程和开发代码和生产代码的多个版本都处于活跃状态。
只有特定服务发送并且与C&C提供的正则表达式匹配的文本消息才会被拦截。这可能会导致Android手机的用户难以发现恶意活动。恶意软件保持“低调”状态,只收集与请求的应用程序匹配的文本消息,以便它可以长期秘密地继续此活动。其实只要SMS PVA服务允许其客户访问受感染手机上的所有消息,用户可能很快就会注意到这个问题。
SMS PVA服务还控制用户接收短信的平台类型(如图1所示)。这意味着服务背后的运营商可以实现受感染的手机上看起来并没有明显的恶意活动。例如,如果该服务允许盗窃银行应用程序的双因素认证(2FA),那么真正的用户将收到警告并采取行动,而这将导致SMS PVA服务运营商失去其“隐形资产”。
住宅代理的使用
在线平台和服务通常通过验证用户在注册期间的位置来验证新账户。例如,可能需要IP地址来匹配账户使用的电话号码的地理位置。
为了避免这种情况,SMS PVA用户使用第三方IP屏蔽服务(如代理或虚拟专用网络(vpn)),以此来更改他们尝试连接到所需服务时将记录的IP地址。通过使用趋势科技智能防护网络(SPN)遥测技术,我们发现SMS PVA服务的用户广泛使用各种代理服务和分布式VPN平台来绕过IP地理位置验证检查。
用户注册请求和SMS PVA API请求通常来自VPN服务或住宅代理系统的出口节点。这意味着SMS PVA服务的用户通常将其与某种住宅代理或VPN服务结合使用,允许他们选择IP出口节点的国家以匹配用于注册服务的电话号码。
SMS PVA服务的安全含义及其对SMS验证的影响
短信验证已经成为许多在线平台和应用程序的默认身份验证方法。许多IT部门将短信验证视为用户账户的“安全”黑盒测试工具。然而,当前的在线服务和平台应该警惕过度依赖短信验证。这些SMS PVA服务证明网络罪犯确实能够大规模地挫败短信验证。这也意味着,在像机器人、喷子或欺诈账户一样的平台上,可能存在经过验证的账户。
某些平台上的“真实用户行为”可能会被使用SMS PVA账号的恶意行为者操纵。这意味着一个平台可能会因诈骗和欺诈而增加成本。平台甚至可能(直接或间接)涉及到人身伤害或财产损害。
根据以往对虚假账户的使用,我们可以预测到恶意行为者将如何在他们的骗局和犯罪活动中使用这些服务。
匿名工具
网络犯罪分子可将一次性号码用于许多不同的活动,因为他们可以注册账户而不用担心被追踪。此外,由于他们使用的受感染的手机号码与真实的人联系在一起,执法部门对他们的账户的调查将追踪到另一个人。
我们曾了解过一个与“先买后付”的恶意事件。在这个事件中,几个恶意软件样本使用SMS PVA服务获取电话号码,并将这些号码与现有的在线支付服务账户连接起来。随后,恶意行为者试图从一个在线购物网站进行交易。尽管我们只确认了少量此类恶意事件的样本,但我们有理由怀疑,这些账户可能会被广泛用于非法购买或洗钱。
另外,这些服务还可以用来避免对商业平台产生的损害或对非法活动承担责任。早在2020年,俄罗斯一家汽车共享服务公司指控一名男子卷入一场车祸。然而,据透露,用于汽车共享服务的账户是一个欺诈账户,却使用被告的姓名和一次性SIM卡进行验证。
协调性不真实行为
协调性不真实行为经常被用来在社交网络中传播和放大某些信息(通常是错误的信息)。而SMS服务能以一定的规模、速度和精度完成此类行为。在大型活动中可以用来操纵公众对品牌、服务、政治观点或政府项目(如疫苗接种运动)的意见。假新闻的组织者甚至可以使用SMS PVA服务来创建大量在线水军。
一些SMS PVA服务有成千上万的被入侵的智能手机并且分布在各个国家。该服务可以让用户在特定国家批量注册社交媒体账户,从而攻击特定国家。
滥用登录奖励
登录奖励(通常在新账户注册时给予)也可能被滥用SMS PVA服务。例如,在东欧、非洲和西亚很受欢迎的叫车服务Bolt,通过为每个新账户提供免费乘车积分来激励新注册。一些SMS PVA服务运营商意识到这是一个潜在的货币化方案,甚至打出广告说有“无限优惠的Bolt班次”,以说服人们使用SMS PVA服务。
结论和建议
核心的安全问题是,SMS PVA服务运营商以其能够监控和拦截来自世界各地数以万计的设备的短信,通过向任何有能力付费的人提供服务,并从中获利。另一个令人不寒而栗的发现,C&C提供的可定制正则表达式模式意味着SMS拦截能力不限于验证码。它还可以扩展到收集一次性密码(OTP)令牌,甚至被专制政权用作监控工具。
SMS PVA服务的运作不仅显示了一次性短信验证作为主要验证手段的不足,也凸显了对更好的移动电话安全性和私密性的需求。感染这些手机的恶意软件可能是用户无意中下载的,或者可能意味着供应链安全存在漏洞。用户亟待需要一个全面的解决方案,这一方案将挑战现有关于账户验证、内容审核以及智能手机安全性的固有基础等方面。
原文链接:
https://www.trendmicro.com/en_us/research/22/b/sms-pva-services-use-of-infected-android-phones-reveals-flaws-in-sms-verification.html
参考链接:
https://sms-man.com/blog/how-do-i-order-a-bolt-taxi-with-an-endless-discount/
https://www.autonews.ru/news/5e4e259f9a79471aef9b7d61
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/can-you-rely-on-otps-a-study-of-sms-pva-services-and-possible-criminal-uses
原文始发于微信公众号(数据安全与取证):安卓用户注意了!黑客利用Android系统的短信验证服务漏洞开展诈骗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论