利用短信传播病毒案例调查

原文出处: 周曙光网络日志

收到诈骗短信,我查到短信可能传播近4万次,诈骗金额可能达1000万台币。于是我打165反诈骗专线报案了,案件编号是1030216505,希望过段时间能看到诈骗集团被抓获的新闻。

晚上收到一条短信,提示是黑猫宅急便的短信,黑猫宅急便是快递公司,我的“philips x100”还不能完全显示繁体汉字,我把短信保存到SIM卡里,换到一台老婆的旧手机上,终于完整显示所有文字了:

IMG_2345IMG_2344

接下来 把 http://goo.gl/dyLQnR 这个地址加上.info 就可以查看这个短链接被传播的效果,

http://goo.gl/dyLQnR.info

用我的GOOGLE帐号登录,一看这个短链接,两小时内被打开806次,是2014年5月14日上午8点创建的短链接,4天来被打开9214次,最近的四十分钟内就被打开648次。也就是说,+886925653767 (运营商可能是远传电信)号码这几天至少发送了9214条短信,至少有9214个人好奇或上当打开了这个链接。

IMG_2343

 

IMG_2342

这个链接是做什么用的呢? 在电脑上打开一下,原来是一个放在Dopbox的共享的文件,

dropbox

这个文件是憑證.apk, 这样的链接如果在Android手机上打开,是不会出现上面的画面,会直接提示安装到手机当中。我没有有手机上测试,我用wget下载这个短链接,直接就下载到了apk文件

这个 憑證.apk 是干什么的呢?我把下载下来的 憑證.apk 上传到virustotal,结果大量杀毒软件告诉我这是一个恶意发送短信的软件,病毒扫描结果在这里

https://www.virustotal.com/zh-cn/file/b8128981d2cf23db4436b7408c3753a536161b20a6616d98dd7d2b859c3566b7/analysis/1400332174/

扫描结果截图如下:

virustotalscan

我想起最近老婆从学校拿回来一张政府发放的警告和提示,我从废纸篓子里找到了:

IMG_2348

原来这恶意软件是靠偷偷发短信来赚钱的啊,一次能偷5000台币,折合1000多人民币,这生意不错啊,抓住幕后黑手就能让他去监狱呆好长一段时间了吧?

咦,这里面又有一个GOOGLE的短链接 http://goo.gl/kZcdvt,我再去看看这个链接被打开多少次

IMG_2350

我 输入 http://goo.gl/kZcdvt.info ,查到 又是 %E6%86%91%E8%AD%89.apk,又是 憑證.apk ,这个链接自2014年4月13号被传播29149次,地理信息显示在台湾被打开28549次,台湾的Android手机占有率很高,如果有80%的Android手机,20%人打开, 50%的人安装成功,每个人损失5000台币,28549*0.8*0.2*0.5*5000=11419600台币,约1千1百万台币的钱被偷走,要是台湾警方给力一点,从手机号码登记者入手,从短信扣费服务商的支付试入手,我就不信抓不到这个病毒制造者。

屏幕快照 2014-05-17 下午10.19.41

我觉得我应该提醒 +886925653767 赶紧跑路了,我于是发了条短信给 +886925653767,我的手机不能写繁体字,所以我写英文,内容是:Drop your phone, cops coming。意思是赶紧扔掉你的电话,警察要来了。警察要基于 +886925653767 的基站来定位来抓这个人也是很容易的。就看台湾警察有没有这个能力和财力去抓了。我先吓唬一下他。

IMG_2347

我的Facbook上有人在地方法院檢察署工作,她们有许多平民没有的资源,假如她们出手的话,应该很容易能抓到这种黑客,不知道抓这种破获涉及1000万台币的案件能不能给她们带来成就感。先发BLOG里再发链接到FB上,谁有兴趣谁跟进好了,如果能留言回报一下最终结果,那就更感激了。



手机、软件、移动互联网。新浪微博:@尘岳0_o

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">