SMS PVA攻击详情概述

本文研究人员会详细介绍SMS PVA服务中存在的攻击风险，这是一种建立在全球僵尸网络之上的服务，它会将智能手机网络安全摧残得一无是处。

智能手机已经成为研究人员日常生活的重要组成部分，其中存储有关研究人员生活的敏感信息，包括研究人员的银行详细信息和个人资料。

智能手机与平板电脑有很大不同。虽然它们都有大部分相同的功能，但智能手机有一张 SIM 卡，可以让研究人员接听电话和短信 (SMS)。

近年来，主要互联网平台和服务都实施了短信验证，作为创建账户时的人工验证手段。OTP 提供商通过 SMS 发送的确认代码也用作双因素身份验证的一部分。

然而，这一功能现在正被攻击者滥用。

虽然 SMS PVA 是一项用于在不同在线平台上创建虚假帐户的全新服务，但攻击者发送和接收 SMS 消息的需求已经存在了一段时间。

地下论坛参与者：早期，短信验证码只是从普通用户那里获得，愿意以少量费用出售。一些地下论坛参与者会购买多个低成本电话设备，将它们连接到计算机，然后将其用作销售 SMS 消息甚至电话访问权限的服务。

SIM 银行：所谓的 SIM 卡盒或 SIM 银行允许用户在一个可容纳 20 到 300 个 SIM 卡盒的设备中使用多张 SIM 卡。然后，SIM 卡将这些卡连接到计算机，并具有“虚拟”电话的等效帐户，可通过计算机系统以编程方式访问。

短信 PVA：黑客组织将开发 Android 恶意软件，允许他们访问受感染手机和其他配备 SIM 卡的设备（如 4G 路由器、导航设备）的 SMS 代码。

SMSPVA.net

一开始，一个名为ReceiveCode的Facebook账号发现了SMS PVA广告。

Facebook 上的 ReceiveCode

ReceiveCode于2020年8月首次发布，宣传“批量虚拟电话号码”，以便在 Facebook、Google、Hotmail、Yahoo、Vkontakte、Tiktok、亚马逊、阿里巴巴、优步、Twitter、Youtube、Linkedin 或 Instagram 等各种平台上使用。单从账号名称就可以看出，它可以让你在注册在线服务时收到短信验证码。

ReceiveCode Facebook 帖子

该公司随后在2020年11月发布了一份扩展平台的清单，扩展到包括在线零售和服务平台，如Flipkart、Lazada和GrabTaxi。他们还声称拥有100多个国家的手机号码。

ReceiveCode 有一个名为 smspva.net 的面向客户的门户，订阅用户可以在其中登录以使用他们的服务。还有一个 API 文档页面作为他们 API 的参考，确认他们的目标用户需要批量编号并采用一些自动化来使用它。

smspva.net 登录页面

本网站主要有三个功能——请求/占用电话号码、获取指定应用（项目ID）的验证码、将电话号码加入黑名单。

Smspva.net 提供根据国家和应用程序指定的请求手机号码的服务。然后用户可以收到发送到该号码的短信验证码。Smspva.net 提供仅供一次性使用的手机号码。

那Receive Code / smspva.net 采用什么机制来维护不同国家的这么多手机号码？smspva.net 的 API 名称和功能是唯一且特定的，但研究人员能够找到另一个名为 enjoynut.cn 的域，它看起来像 smspva.net 的镜像副本。

smspvanet（左）和 enjoynut.cn（右）

在这些截图中，研究人员可以看到 smspvanet 的登录和 API 文档类似于enjoynut.cn。相比之下，smspva.net比enjoynut.cn接收到更多的流量。因此，研究人员认为enjoynut.com是一个测试服务器，而smspva.net是smspva.net的生产服务器。

enjoynut.cn 连接是一个重要的支点，因为该域被多个 Android 恶意软件变体使用。

Dex 文件

感兴趣的 dex 文件是 sha1 e83ec56dfb094fb87b57b67449d23a18208d3091，研究人员检测到它是 Android_Guerilla 的变体。这个特定的 dex 文件使用 cardking.ejoynut.cn 作为调试 C2，并使用 sublemontree.com 作为生产 C2。

dex文件的目的是拦截在受影响的Android手机上收到的短信，检查它们与从C2收到的regex规则，然后发送给C2任何匹配regex的短信。

拦截短信的代码

通过 websocket 从服务器接收正则表达式的代码

发送与提供的正则表达式匹配的 SMS 消息的代码

使用这些代码片段和 C2 流量作为指纹，研究人员的团队识别出更多具有相同功能但不同 C2 的 dex 文件，这表明他们的 Android 恶意软件的代码和产品代码的多个版本处于活跃的开发过程中。

不过需要注意的是，并不是所有的短信都会被恶意dex文件拦截。相反，只有 SMS 消息由与命令和控制提供的正则表达式匹配的特定服务发送。

这是恶意 dex 文件隐藏的一部分，如果 smspva.net 允许其用户访问受感染手机上的所有 SMS 消息，受感染手机的所有者会很快注意到无法接收 SMS 消息的问题或接收他们没有请求的 SMS 消息。

ReceiveCode 允许用户访问发送到公司存储中的手机号码的 SMS 代码验证。客户只需注册他们面向客户的门户网站 smspva.net，即可开始使用他们的服务。

接下来，研究人员将讨论 smspva.net 和 Android 短信拦截如何协同工作。研究人员还将举例说明用户如何使用 smspva.net 在不使用自己的手机号码的情况下获取 SMS 验证码。

许多服务在新帐户注册期间使用附加验证。例如，在用户创建帐户之前，可能需要 IP 地址来匹配电话号码的地理位置。同样，可能需要特定位置的验证或限制。例如，某些内容可以仅对特定国家可用。

为了避免这种情况，SMS PVA 用户使用第三方 IP 掩码服务，例如代理或虚拟专用网络 (VPN)，来更改他们尝试连接到所需服务时将记录的 IP 地址。分析发现 SMS PVA 服务的用户广泛使用各种代理服务和分布式 VPN 平台来绕过 IP 地理位置验证检查。

研究人员观察到用户注册请求和短信 PVA API 请求通常来自 VPN 服务的出口节点或住宅代理系统。这意味着 SMS PVA 服务的用户通常将它们与某种住宅代理或 VPN 服务结合使用，允许他们选择 IP 出口节点的国家以匹配用于注册服务的电话号码。

Smspva.net 和 Android 短信拦截

为了演示 SMS PVA 和 Android SMS 拦截如何协同工作，研究人员使用 Carousell（东南亚最大的开放市场）创建了一个假设场景。

smspva.net 和 Android 短信拦截协同工作

1. 首先，你需要注册一个 smspva.net 帐户并充值。

2. 然后，选择一个“项目”。项目是他们支持并能够拦截短信验证的在线服务或平台。对于这个场景，项目是 Carousell。

3. 继续创建一个 Carousell 帐户。

4. 对于手机号码字段，请在 smspva.net 中申请手机号码。该服务将为你提供一个手机号码，你可以使用该号码在帐户创建过程中填写手机号码字段。

5. 然后，Carousell会向该手机号码发送一个带有一次性代码的验证短信。恶意软件会拦截短信并将其发送到smspva.net。

6. 然后，你可以从smspva.net获得验证码，并在注册表单中提供验证码。或者，你可以使用住宅代理服务来匹配所使用的电话号码的地理位置。在此之后，你已经通过了验证检查，并创建了一个帐户。

因此，受害者的手机号码将有一个与smspva.net用户注册的任何平台或服务相关联的账户。通过智能保护网络(SPN)监控技术，研究人员能够收集一小部分电话号码的采样集，这些号码是由该服务的实际用户从SMS PVA平台获得的。

WhatsApp

在这个示例中，研究人员在 WhatsApp 中找到了一个带有匹配照片的印度尼西亚手机号码（推测是所有者的真实帐户），但与同一电话号码关联的 Telegram 帐户的名称是用西里尔字母书写的。假定该帐号是通过SMS PVA注册的。

这些只是研究人员在 smspva.net 上看到的常见趋势的一些说明。要么是账户在不同服务中的名称不同，要么是手机所在国家/地区与账户中使用的语言不匹配。对研究人员来说，这表明受害者的手机号码已被利用 smspva.net 服务的运营商成功使用和注册。

短信验证已成为在线服务平台和服务用来确认一个人只使用一个帐户的标准方法。但是由于 SMS PVA 等新服务的出现，攻击者现在可以绕过这种方法，甚至可以利用它。

以下是此类服务能被利用的地方：

匿名性。有了SMS PVA，攻击者可以利用一次性号码注册他们的账号，而不用担心账号和号码会被追踪到他们身上。一些国家在购买SIM卡时需要身份验证，他们甚至不用担心SMS PVA。

虚假宣传活动。协同的不真实行为经常被用来大规模、快速且精确地传播和放大信息。这可能是一场虚假宣传活动，试图操纵与特定品牌、服务、政治观点或政府项目(如疫苗接种运动)相关的舆论。

SMS PVA服务是基于遍布各个国家的数千部被入侵的智能手机。有了这项服务，SMS PVA用户可以精确地注册国家一级的账户，因此可以使用假装来自目标国家的虚假账户发起活动。

滥用签到奖励。通过 SMS PVA 服务，攻击者可以简单地创建多个帐户，以利用在线服务和平台提供的注册促销活动。然后，他们可以将奖金出售给不起眼的受害者。

滥用应用游戏化奖励。攻击者可以利用短信PVA服务创建账户，并从应用程序游戏化奖金中获利。他们可以创建假账户来获得更多的浏览量，这将导致更多的奖励。

规避区域限制。SMS PVA 服务也被用来规避政府或国家的限制。例如，拥有中国电话号码的用户无法在 Binance 平台上注册。通过使用 SMS PVA 服务，攻击者可以绕过此限制并注册 Binance 帐户。

避免处罚和责任。由于 SMS PVA 服务提供的匿名性，攻击者可以在使用他们的虚假账户犯下任何滥用或违规行为时避免法律责任和处罚。

诈骗和欺诈。SMS PVA 允许诈骗者在任何消息传递应用程序中注册批量帐户，然后使用这些帐户发送他们的诱饵和社交工程技巧。

像smspva.net这样的服务最易受感染的受害者是那些不知情的智能手机受感染的个人。他们很可能不知道自己被感染了，如果他们不注册自己手机号使用过的任何应用程序，他们甚至不会知道出了什么问题。

如果由于与帐户相关的任何诈骗或欺诈活动而进行刑事调查，受害者手机号码的所有者可能成为嫌疑人并成为调查对象。

SMS PVA 服务也对使用 SMS 验证作为安全措施的在线平台和服务产生巨大影响。因为 SMS PVA 服务能够拦截这些消息，所以这种安全方法现在被破坏了。

这也影响了当前正在实施的反欺诈和不真实的用户行为模型，因此它现在不仅需要考虑未经验证的帐户执行的操作，还需要考虑经过验证的帐户。

允许用户使用一组身份验证凭据登录一组服务的单点登录 (SSO) 方案也受到 SMS PVA 服务的严重影响。

现在可以使用SMS PVA服务在主要平台上批量创建帐户，因为访问实际的手机和短信只需要一次。

研究人员将讨论哪些国家/地区受 SMS PVA 服务影响最大，哪些在线服务和平台最受客户欢迎。研究人员还将提出一些建议，以缓解这种复杂威胁的风险。

受服务影响最大的国家

ReceiveCode 的 Facebook 和 Telegram 帖子

在上面的屏幕截图中，ReceiveCode 发布了使用其服务的主要国家/地区。从这些信息中，研究人员看到泰国、印度尼西亚、南非、美国、俄罗斯、哥伦比亚、孟加拉国、墨西哥、土耳其、安哥拉和印度通常占据智能手机受 smspva.net 影响的前 10 位。

由于市场分布，如果研究人员根据 Trend Micro 的 SPN 遥测数据来确定国家感染分布，会存在一些差异，但研究人员可以验证印度尼西亚、俄罗斯、泰国和印度确实是 Android 手机受感染最多的国家之一。

受感染国家

根据这些监控数据，研究人员可以将受感染设备的用户代理映射到最有可能的品牌和手机型号。下图显示了研究人员确定正在与smspva.net的信息收集后端通信的手机的分类：

受感染的智能手机品牌和型号

这表明，在制造这些廉价设备的过程中，可能存在供应链上的攻击，因此它预先安装了 SMS 拦截 dex 文件或稍后安装它的下载器。

受影响的在线平台和服务

大多数受影响的服务是消息应用程序，如 LINE、微信、Telegram 和 WhatsApp。TikTok、Twitter 和 Facebook 等社交媒体平台也受到影响。

消息应用程序目前是 smspva.net 用户的最大目标，并且可能与这些平台上虚假帐户的垃圾邮件和欺诈行为增加有关。

缓解措施

到目前为止，SMS 验证是唯一一种广泛使用的安全机制，可以确保帐户是由真人创建并为真人创建的，而不是僵网络。以下是研究人员缓解由 smspva.net 等服务带来的威胁的一些建议：

⚫对于在线平台和服务来说：

一次性短信验证是不够的。SMS PVA服务滥用了这样一个事实，即SMS验证只在创建帐户时进行一次。如果检测到应用程序在线，一些应用程序会发送应用程序内验证。这种类型的验证可能会阻止使用SMS PVA服务获取应用程序帐户。

在启动带有货币价值的注册或游戏内奖励计划时要谨慎。 研究人员已经看到了团体注册和游戏内奖励的快速盈利，因为他们能够创建大量帐户。在启动这些程序时，应该采取更严格的措施，应该在短信验证的基础上实施额外的验证，以防止滥用。

检查手机的原产国与创建的帐户配置文件，以帮助发现一些虚假帐户。 如果手机号码与创建的账号的种族、语言、性别、头像和/或登录IP地址不匹配，或者用户活动与特定地区用户的典型行为不匹配，这是一个标志，该帐户可能是使用SMS PVA服务注册的，应该需要额外的验证。

请注意个人资料头像或个人资料属性的重用，因为这也是一个危险信号。 这尤其适用于专为浪漫、垃圾邮件和股票投资骗局而创建的账户。

⚫对于智能手机用户：

确保以你的品牌名称销售的设备的出处。有充分记录的设备预先感染了恶意软件的案例。

对 ROM 映像和更新保持警惕。确保设备的默认 ROM 映像中包含的所有应用程序、ROM 映像本身以及执行 ROM 更新 (FOTA/OTA) 的组件都是受信任的和/或来自受信任的来源。

⚫对于消费者来说：

购买智能手机时要考虑安全性。在购买手机之前，研究一下你的手机制造商，看看它在安全性方面是否有良好的声誉。

确保没有恶意软件运行在你的智能手机，让这些SMS PVA服务滥用你的手机号码。

定期分析设备内容。

只选择受信任的应用程序，不要在设备上安装不受信任的应用程序或来自不受信任来源的应用程序。

注意ROM映像，不要在你的手机设备上使用未经验证的ROM映像。

参考及来源：https://www.trendmicro.com/en_us/research/22/b/sms-pva-cybercriminals-part-1.html https://www.trendmicro.com/en_us/research/22/b/sms-pva-cybercriminals-part-2.html https://www.trendmicro.com/en_us/research/22/c/sms-pva-countries-part-3.html