短信营销已经变成线上推广的必备武器,短信营销有其独特的优势,短信营销范围没有地域范围限制,传送方便,并且可以针对不同的用户进行不同产品的推广,避免资源浪费,短信营销也更直接,相比线上广告,客户对短信营销的厌恶感较低,而且能在最短的时间,将信息传播出去,提升了营销效率。然而,如果一家企业采用短信营销的方式,免不了要与短信通道商进行接触。
短信通道指的是由中国移动、联通、电信等运营商直接提供的短信发送接口,从而实现与目标号码进行大批量短信发送的通道。国内的短信通道主要以中国移动为主,目前占据65%–70%的市场份额。
短信通道分为:106通道、电信虚拟短信通道:电话区号(类似021)的、1069三网合一企业实名制通道。
三网合一可以群发三网的手机短信(移动、联通、电信),一般针对企业使用,通道商对企业进行实名制登记备案,可以通过短信通道向指定的号码发送验证码、活动、宣传、祝福等营销短信。在正规的短信通道发短信需要付费,发短信时通道代理商也会遵守相关法律法规,审核企业所属行业及提交的短信内容是否为敏感内容。
目前发送正规内容短信的价格据了解,验证码在0.05元一条,营销短信大约在0.06~0.1元钱一条。按行业不同,一般通道商一次接受短信发送量最低10000条起。
由于短信通道对贷款、电商、黑五类等敏感内容审核严格,需要各种资质登记备案,这种趋势会持续延续下去,在此情形下,敏感行业需要寻求其它推广渠道。黑客推广在推广行业是一种隐秘的存在,他们宣称能推广任意内容的短信,包括贷款、黑五类等内容。
图1:宣称能推广任意内容业务人员
奇安信安全分析团队在工作中,发现了一种黑客的新型变现方式,该变现方式实现了黑客宣称的“能发送任意内容的营销短信“,黑客通过用户手机构建的僵尸网络,冒充“短信通道商”向广告主骗取短信营销费用,用户手机被控制,莫名奇妙收到很多“广告短信”。
图2:收到的广告“营销短信”
图3:虚假短信通道诈骗图
我们发现该类行为的APP均是通过色情软件的形式诱导用户安装,根据包名和签名信息可以看出,属机器自动修改生成,通过高强度混淆来对抗传统安全软件的查杀。
图4:恶意APP的图标
通过恶意APP出现的时间判断,该类型APP还在不断更新,时间跨度在一年,可以断定,该虚假短信通道已运营一年之久。
图5:APP爆发时间
在对该APP进一步分析中,我们发现该APP通常以一个独立的包存在,以独立包存在的好处是方便通过重打包的方式插入其它应用中,更有利于批量制作恶意APP。
图6:实现虚假短信通道的恶意包
首先恶意包会加载一个so文件,所有功能均在该so中,该文件目前大部分安全软件均未报毒。
图7:各家杀软不报毒
图8:加载恶意so
该恶意包与远程服务器建立内容传输通道,与远程服务器持续建立链接,感染越多则会构成手机僵尸网络。
图9:与远程服务器建立连接
图10:持续与远程服务器通讯,随时接收内容
通过反射调用Java代码,向短信数据库中插入远程服务器下发的违规内容,该方法可能使一些垃圾短信拦截软件失效。
图11:往手机插入短信,实现短信到达用户手机
经过奇安信安全分析团队监测发现该APP插入的违规内容短信如下:
图12:远程服务器下发的短信
该APP推广的方式包含常见的强制弹框推广,并推广保健类产品。
图13:恶意APP推广流量图
图14:APP推广的保健类产品
图15:推广保健类产品的APP推广公司
经奇安信安全分析团队研究发现,凡是这种用到本地数据库并且加密强度不高的情况,并且用来存储的第三方即时通讯软件、社交软件聊天记录的APP均会受此手法攻击,目的是增加发送的“短信”曝光率、点击率。
目前来看,市面上使用该方法骗取广告主营销费用的案例并不多,经过测试,我们发现,使用本地数据库作为存储的均存在被恶意添加内容的风险,奇安信安全分析团队在此提醒,对本地数据库存储的信息有较高安全性要求的APP,加入校验逻辑,校验一致性可降低被攻击的风险,同时提醒企业短信营销人员,在寻找短信通道商时,仔细甄别资质,详细测试短信相关数据,以免被骗。奇安信病毒响应中心,将持续对最新的恶意安卓APK攻击活动进行及时分析与更新,目前奇安信全系产品均可对此攻击活动进行报警。
e.angshuwl.com
d.angshuwl.com
*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM