揭露电信诈骗之悄无声息的转走资金

Andy0214 · 发表于 2020-4-19 08:42

近几年电信诈骗事件层出不穷，针对2019年6月13日发生的电信诈骗案例“我被电信诈骗53万！却无从追回”。暗影实验室通过分析该案例中涉及的仿冒APP来揭露案件面貌还原真相，以提醒更多用户谨慎下载使用来路不明的应用，防止个人隐私泄露。

案例链接：我被电信诈骗53万！却无从追回

该应用安装启动后会监视和控制用户手机,并上传表单页面输入的***号、账号密码等重要数据，同时上传用户设备中联系人、短信等隐私信息。通过拦截用户短信使用户无法正常接收短信，拦截用户电话使用户无法正常拨打接听电话。
一、样本信息

MD5：953FF8734**4C875F73976F3DC683FAE

包名：com.demo.gfansi.crbc安装名称：

CRBC运行图标：

二、电信诈骗套路诈骗方从黑市购买用户详细个人信息（***号、电话号码、职业、家庭情况等），通过这些信息骗取用户初步信任。制造假文件、**、冒充公职人员欺骗用户让用户相信自己已违法并一步步套路用户安装恶意软件，该恶意软件会上传用户输入的***账号，密码等重要信息，同时拦截用户短信、电话，让用户无法获取转账通知短信。从而悄无声息的转走用户资金。

图2-1 电信诈骗套路
应用运行界面如下：要求用户输入***号和账户密码等信息。

图2-2 应用运行界面
三、样本分析：3.1 拦截短信、电话
获取用户输入的***号、账户密码等信息并加密发送至服务器.诈骗分子获取用户***账号、密码后便能将用户***里的资金全部转出。

图3-1 上传用户输入的账号密码
监听用户短信：拦截用户接收的短信，并将短信进行转发，接着删除短信。目的：避免在转账***资金时用户接收到短信通知。

图3-2 监听用户短信
监听用户电话状态：当用户手机来电或去电时，拦截电话拨号。将用户来电或去电的电话号码与固定电话列表对比，如果匹配上则设置转拨电话。目的如下：

（1）诈骗方可将自己拨打给用户的电话设置为公职电话，让用户相信诈骗方是公职人员。

（2）诈骗方可将用户拨打给公职机关的电话转播为自己电话，使用户无法与公职机关取得联系。

图3-3 监听用户手机状态
3.2 窃取隐私通过远程控制窃取用户联系人、短信等隐私信息。目的如下：

（1）可通过贩卖用户隐私数据获利。

（2）可用于诈骗他人。

图3-4 远程控制
备份用户联系人信息。
服务器地址：http://103.***.210.108:8080/WebMobileD6/phoneajax/index.do。

图3-5 备份用户联系人信息
备份用户短信信息。服务器地址：http://103.***.210.108:8080/WebMobileD6/phoneajax/index.do。

图3-6 备份用户短信信息
3.3 传播恶意软件
发送带有恶意软件下载链接的短信给指定联系人传播恶意软件。

图3-7 发送短信
大多数电信诈骗的发生都是因为用户隐私数据的泄露，如果你无意中点击了短信中的某条链接就有可能造成以上诈骗事件的发生。

图3-8 恶意软件传播危害
四、同源分析
通过对该样本包名、应用名、服务器地址等信息进行扩展分析，我们找到了一批同源样本。
表4-1 同源样本信息[td]

图标	MD5	安装名	包名
	a2ce9d3671e6369db60d509e79607d9c	CRBC	com.nejitawo.crbcapp
	033ea9e87805d1d55d8afcc13dbcdaf0	CRBC	com.apache56.MobileD1
	3db0fa36b7cd208bc6629114b135bf8c	CRBC Mobile	com.subsplash.thechurchapp.s_XFF535
	48bbc6b0303fb516f7b245c2faffcd50	CRBC Mobile App	io.appery.project115680
	dedc1e416c3e1d2b2e227b488fd62c48	CRBC	com.apache56.MobileD1
	e2bdc6d6adb16bbd5548d6273983b4bf	CRBC	com.CRBC.MobileD1
	67eaff5751b518fd168fdaa79ce6dd01	CRBC Mobile App	io.appery.project115680

五、安全建议
移动应用的批量生成造成应用市场的混乱，很多非正规渠道下载的应用软件都会上传用户个人信息。这些个人信息被不法分子利用进行电信诈骗。建议用户一定要提高警惕性，不要轻易相信他人，坚持去正规应用商店下载软件，避免点击恶意链接或者从不正规的论坛下载软件。
原文地址：https://www.freebuf.com/articles/terminal/223878.html

Andy0214 · 发表于 2020-4-19 08:44

前面的帖子一只有吧友怀疑这种东西真的有人被骗吗？
我们来看看真实案例，下一篇帖子吧友们可以看到储存被骗人信息的后台

稻草人888 · 发表于 2020-4-19 09:50

移动联通说电信诈骗！！

zgmn001 · 发表于 2020-4-19 09:17

青词倾慕发表于 2020-4-19 09:01
呵呵呵呵呵
存款两位数的我
吓死了

这个人被骗并不是他有钱，而是骗子诱导你通过各种渠道贷款借钱，这太可怕了，所以还是要多个心眼，不要以为自己没钱，就万事大吉

德德哈哈 · 发表于 2020-4-19 09:12

感谢楼主的分享

alanskyisaboy · 发表于 2020-4-19 08:49

现在某些不良手机软件就是这么做的，还称手机报毒是因为内容不通过，其实是软件本身就是违法窃取信息的

jcldkj · 发表于 2020-4-19 08:51

看看现在的电信诈骗

dingfen · 发表于 2020-4-19 08:58

电信咋骗真可怕！

青词倾慕 · 发表于 2020-4-19 09:01

呵呵呵呵呵
存款两位数的我
吓死了

Wang17768161991 · 发表于 2020-4-19 09:05

以前做贷.款的时候有这种诈骗软件有的客户就是下载这种类型的软件，验证码被拦截然后把卡里的钱转走了。

lianzai · 发表于 2020-4-19 09:08

感谢楼主分析，很有帮助

WX2886 · 发表于 2020-4-19 09:14

都用正规软件那还玩什么破解？

帐号		自动登录	找回密码
密码			注册[Register]

[转载] 揭露电信诈骗之悄无声息的转走资金

免费评分

个人中心