2016年8月17日，ISC2016移动安全发展分论坛在北京国家会议中心召开。安天实验室武汉移动安全公司副总经理陈家林在论坛上揭秘了移动银行和支付黑产的状况与运行机制。

　　以下内容为陈家林演讲速记整理全文：

　　陈家林：首先感谢360和杨教授邀请来参加这次大会，我今天分享的主题是揭秘移动银行和支付黑产，取名叫Dark Mobile Bank。我先做一个自我介绍，我来自安天，安天是专门针对移动的漏洞分析、企业安全、IOT互联网相关的安全等。

　　其实所谓的Dark Mobile Bank，我们最关心的是一个木马称为短信拦截码，它的目的是你的隐私数据、历史短信、环境录音，还有其他的敏感信息。我先做一个小的调查，在座的各位听众有没有谁曾经在你手机上安装一个程序，被举报说是木马。没有是吗？有没有人第一次用杀毒软件没有发现，后来才发现手机有了异常，比如说短信突然收不到，或者流量消耗很大。通过我们这次历时一个季度，从一月到四月，做的这次深度的调查，以及数据分析。我们发现短信拦截码是整个移动的恶意代码中，不论恶意家族的数量还是绝对样本数量都是最大的，远远拉开它跟第二名恶意代码的数量。而且我们跟踪中发现大量的人中了所谓的短信拦截码，政府政要、知名商人，甚至还有一些安全界的大佬。

　　今天要讲的议题，第一部分是DarkMobileBank背景介绍。移动的黑产攻击链条，接着讲黑产的行动战术和技术分析，然后给出攻击活动的活跃数据，最后一点是展望。现在的黑产除了短信拦截码设置的，还有各种各种的问题。我们希望抛砖引玉通过这个分享，让大家更加重视这些问题。

　　上图是我们看到的冰山一角。从2013年到2016年，通过这么多数据分析，这些数据分析主要是来自于武汉安天移动的引擎，跟行业开发者合作，有将近5亿用户，月活跃达到1亿。第二个数据交换，跟踪黑产的数据。三年时间内，我们发现超过一百万用户面临危险，因为短信拦截码跟你的切身利益相关。实际上有可能你已经遭受了类似的攻击，只是你不知道而已。有超过一亿的信息泄漏，你做了短信拦截码之后它立即会把你的电话本上传，并且有超过两亿条隐私的泄漏。有姓名、银行卡号、身份证号，密码。当你去找密码过程中，它会把原来的密码通过短信发给我。这是到2016年第一季度的统计，有超过十万的信息泄漏，超过十亿的资金面临潜在的风险。

　　为什么说潜在？因为我们看到大量包含用户银行账户余额，或者金融账户相关的短信被黑产窃取，上传到黑产所控制的邮箱和服务器中，他们基于这些东西做进一步诈骗和攻击。短信拦截码的活跃度比去年的同期提高，环境越来越恶劣。今天上午谷先生曾经说过黑产有40万，刚才360也说企业的恶意开发者在搅乱移动市场，企业开发者的数量跟这个比还是小巫见大巫。这个产业有无数的人，大家有不同的行业分工，甚至互相之间，他们通过线上交流完全不知道对方是谁，在哪儿，我们看到的整个黑产是非常非常成熟的。

　　在探索过程中，我们的研究初心也是希望形成各方联合的闭环，这就是强调的协同联合的主题。我们希望职能部门、运营商，它们扮演的威胁渠道的检测，黑产的攻击者使用的邮箱、域名、IP。我们希望银行、金融公司扮演的角色是真正想通过自己的技术实力，在安全公司形成战术、战略的落地，并且它是扮演这样一个真正打击处置黑产的中心角色。作为安全公司，我们想扮演的角色是提供检测和防御能力，同时帮助攻击者回溯分析、攻击链条，以及受害者画像。

　　之所以我们取名Dark Mobile Bank，这个是我们在4月28号公布了DarkMobileBank，它有两个章节，第二个章节数据敏感性没有公开，第一个章节对外公开了。因为短信拦截码的设备感染者一旦中了码，不但被黑产的攻击者控制，同时像一个天然气管道一样，攻击者像拥有自己的私有银行一样，可以随意对受害者进行攻击，所以我们取名DarkMobileBank。

　　对于黑产的攻击链条，我们先看一下传统所谓的攻击链。从准备、筹划，到缺陷利用、安装、控制，以及启动。基于多年我们对终端的理解，我们进行了简化。实际上大家会发现为什么大家都做移动？因为这个投放简单，不仅仅是多。一个短信或者链接就有可能让你安装这些短信拦截码。同时这里有一个顺序调换，这个投放完了之后，第二步所谓的攻击就是诱导或者欺骗受害者，让他的手机装上这样的APP。最后持续的控制，做一个攻击。

　　这是我们的一张大图，这里面我们引用了KPP、战术和过程的概念。在攻击准备中，由于黑产多年的积累，实际上早些年用户隐私概念很薄弱，所以大家非常容易收集到用户隐私。针对大量存在的地下黑产数据，攻击者会对受害者进行画像，比如这个人家庭出身、背景、职业。之后查看他使用的业务，他使用哪些银行，他使用哪些在线支付或者电商，收费信息也会进行收取。在攻击中最主要的就是制作木马。第一部分对短信拦截码的APP，就是APP的开发。因为这样的APP开发，基本上一个高中生经过一两个月的培训就可以开发，而且杀毒软件查这样的东西，不断用大量的新人，因为新人开发的不一样。所以这个产业里面就会形成制码人。还有一部分人开发交易网站，他们不需要有任何的开发背景，只要把关键的地方改一改就可以投放，只要你买到域名IP。攻击投放里面，有一个放码人做一个投放，遇到的是背包客，或者他开着一辆车沿着车道走，通过伪基站的形式发短信，这个短信要么是一个APP下载链接或者Web连接，如果Web中招很容易把银行账户、密码上传。

　　如果是APP链接，你的电子码会被截获。对于银行来说，都没有放弃验证码短信，他认为是比较好的双赢的因素，所以验证码短信始终是需要通过传，因为验证码短信的双赢验证。到攻击的实施中，很简单无非就是当你获得了这样的用户信息之后，如果获取他的银行密码或者在线的东西进行在线支付，就可以把钱弄出来。把钱弄出来之后，到了洗钱人。这个里面是很容易上当受骗的，直接经过洗钱人转走。如果洗完了，会卖给下家，继续进行攻击。如果第二次洗完之后发现这个没有价值了，又会卖给下一家，这一家就是地下黑产，所有的数据会沉淀下来，都是用户的敏感数据。整个地下黑产涉及到用户隐私的大数据，超过了任何一家公司。这里面我们列了这么多隐私数据会泄漏。

　　这个链条是把我们刚才所说的东西进行了总结，攻击链条里面用的技术和方法，不一一列举了。他们经常用的工具比如说邮箱、交易网站、域名，就是现在整个黑产里面需要打击的一些点。在这一块，我们确实也提供了很多关于恶意程序、APP，专门针对黑产做的，我们提供相关的恶意检测。这个受害者数据就是我们刚才提到的，所有的东西都会可能导致你被诈骗和攻击的可能性。

　　我再强调一下短信拦截码，短信拦截码基本上都会有这么多用户所谓隐私资产的窃取。前面讲了很多是概念，讲了黑产的攻击流程。黑产里面会有一些战术上的技术分析，这里面我们前面讲到了黑产里面做的短信拦截码和钓鱼网站。那么对于所谓的短信拦截码，我们看到它们经常会用的技术上的仿冒。因为仿冒一个应用程序的话，它除了短信拦截功能之外还有一些钓鱼功能。我们看到最多的是仿冒成银行类的APP，短信的比如说交易网站。

　　这是我们搜集到这么多，几乎很难去识别它是一个正常的银行类应用，还是一个所谓木马。在这里，它通常会通过名字把自己不停地伪装，安全控件和安全客户端之类的。当你打开这个APP之后，轻则这个APP消失了，重则其中还会有一些钓鱼界面，与你看到的所谓的正常的网银的登陆网络支付的界面一模一样，在里面做进一步的劫持。所以我们也花了很多时间去研究，这个仿冒的东西到底怎么去检测，这个仿冒的检测算法确实比较关键。我们在仿冒过程中做了一个梳理，第一点对APP名称的仿冒，直接的盗用，跟原来的域名一样。还有升级插件的衍生品，还有加入特殊符号，试图逃过杀毒软件在后台的检测。还有加上版本号，像这个余额宝，大家看到了吗？还有建设银行。这个看起来很Low的工具，但是它对于大量的文化教育水平不是很高的，特别是年龄比较偏大的人具有非常好的欺骗作用。

　　他们通过所谓的大数据过滤这些人更加好骗。我觉得骗这些人，攻击这些人，诈骗这些人反而更容易。还有我们看到的图表仿冒，直接盗图的。这个把中间截了一点点。还有颜色做了变化，这个是加了角标，另外盗用之后加了其他的信息。对于名称，对于图表的变化都是经常用的伎俩。我们对于名称的搜索和图标都做了很多梳理，是针对以金融类的短信拦截码，近而对这些APP做重点分析，去挖掘技术安全的数据。

　　还有一些其他的技巧，确实让我们在梳理过程中大开眼界。比如说短信回传。因为很多短信拦截码一定要通过一个通道回传这些信息，要么通过网络，要么通过短信。通过短信确实做的很有意思，我分析这肯定是一个技术宅男做的，可以轻松的绕过运营商的备案。我们看到很多的电话劫持，这个病毒木马获得了权限，有一个期权。这个病毒木马在上海和武汉都有投放，这个是上海市普陀分局，这个是湖北公安局，这边是朝阳公安局，都进行了过滤。当用户去拨打这些号码的时候，他把这个号码进行了修改。导致用户有时候发现金额出现问题的时候，他会打110，它通过这种技术直接阻断了。可想而知这些攻击者确实绞尽脑汁想如何让这些受害者尽可能延迟或者不发现攻击，如果发现了，怎么进一步阻碍。

　　这是一个模拟点击广告的。它想在攻击中赚一点小钱，让自己得到一点广告费，这个在后台模拟点击广告。前面说的整个产业链分工比较明确，这个里面我在14年的时候接触过一些黑产的人，我进入某一个网站。这个网站主要形成一个联盟，一边是APP开发者，一边是需求提供方。但是很快这个平台变成了制码人和卖码人的交易平台，很多需求提出需要开发一个短信程序。通过APP开发，他们很直接，说第一步直接问有没有？说有。免杀？第一反应问360免杀吗？我们说可以。第二个能够适用吗？我们说可以，你给他后，他就消失了。因为这个短信拦截码制作过程中很低廉，如果被杀毒软件发现了，基本上不会超过24小时。他们买了后，投放也就一天，先骗过来做，反正只有一天的使用周期。这是我们看到的，所以开发者为了保护自己的利益，加了一个自动时间。因为有很多买码的人是没有技术能力的。