某些 SMS PVA 服務(wù)允許其客戶創(chuàng)建一次性用戶資料或在許多流行的在線平臺(tái)上注冊多個(gè)帳戶。犯罪分子可能會(huì)濫用這些服務(wù)進(jìn)行欺詐或其他惡意活動(dòng)。

在過去兩年中，短信服務(wù) (SMS) 電話驗(yàn)證帳戶 (PVA) 服務(wù)有所增加。SMS PVA 服務(wù)提供可供客戶用于注冊在線服務(wù)和平臺(tái)的替代手機(jī)號碼。這些類型的服務(wù)可以繞過在線平臺(tái)和服務(wù)廣泛用于驗(yàn)證新帳戶的 SMS 驗(yàn)證機(jī)制。攻擊者可以批量注冊一次性帳戶或?yàn)榉缸锘顒?dòng)創(chuàng)建電話驗(yàn)證帳戶。

接下來，我們對使用smspva[.]net網(wǎng)站的SMS PVA提供商的調(diào)查結(jié)果。

SMS PVA 運(yùn)行進(jìn)程

Smspva[.]net 和其他 SMS PVA 服務(wù)具有基本相同的關(guān)鍵特征：

1.提供一次性使用的手機(jī)號碼，并且可以使用許多不同國家的號碼；

2.平臺(tái)用戶只能為服務(wù)運(yùn)營商預(yù)定義的特定應(yīng)用程序請求文本消息，在某些網(wǎng)站上標(biāo)記為“項(xiàng)目”。

3.不提供電話號碼的長期租用。

用于選擇可供 smspva[.]net 用戶使用的 SMS“項(xiàng)目”的下拉菜單

這個(gè)特定的 SMS PVA 服務(wù)提供商能夠在不同國家/地區(qū)維護(hù)許多手機(jī)號碼。值得注意的是，維護(hù)這些數(shù)字的成本超過了向客戶收取的服務(wù)費(fèi)率。那么，這項(xiàng)服務(wù)如何設(shè)法繼續(xù)其業(yè)務(wù)運(yùn)營呢?

用于攔截 SMS 的惡意 Android 應(yīng)用程序

在我們的研究過程中，我們發(fā)現(xiàn)有證據(jù)表明這種特定 SMS PVA 操作的功能是建立在感染了 SMS 攔截惡意軟件的 Android 手機(jī)上的。

我們通過 API URL 和網(wǎng)站本身進(jìn)行了調(diào)查，發(fā)現(xiàn) smspva[.]net 的 API 名稱和功能是獨(dú)一無二的，但如下圖所示，enjoynut[.]cn 在子域 lm.enjoynut[.]cn 上有一個(gè)非常相似的網(wǎng)站。

smspva[.]net(左)與 lm.enjoynut[.]cn(右)的屏幕截圖

Smspva[.]net 和 sm.enjoynut[.]cn 具有相同的登錄頁面和相同的徽標(biāo)，以及相同的 API 文檔。在比較兩個(gè)域之間的用戶流量后，我們觀察到 smspva[.]net 接收到的流量要多得多。因此，我們認(rèn)為 enjoynut[.]cn 被用作測試服務(wù)器，而 smspva[.]net 是生產(chǎn)服務(wù)器。

enjoynut[.]cn 連接是一個(gè)重要的支點(diǎn)，因?yàn)樵撚虮欢鄠€(gè) Android 惡意軟件變體使用。

使用速度-時(shí)間 (VT) 圖表透視工件

DEX 文件是一個(gè)帶有 sha1 e83ec56dfb094fb87b57b67449d23a18208d3091 的文件，我們將其檢測為 AndroidOS_Guerilla 惡意軟件的變體。這個(gè)特定的 DEX 文件使用 cardking.ejoynut[.]cn 作為調(diào)試命令和控制 (C&C)，并使用 sublemontree[.]com 作為C&C的結(jié)果，如下圖所示。

Cardking.enjoynut[.]cn用來調(diào)試 C&C 以及 sublemontree[.]com 被用來制作 C&C

該DEX文件用于攔截受影響的Android手機(jī)收到的短信，并根據(jù)C&C接收到的正則表達(dá)式(regex)規(guī)則進(jìn)行檢查，然后將匹配正則表達(dá)式的短信發(fā)送給C&C。

攔截傳入 SMS 的代碼

通過WebSocket從服務(wù)器接收正則表達(dá)式的代碼

用于發(fā)送與所提供的正則表達(dá)式匹配的文本消息的代碼

使用這些代碼片段和 C&C 流量作為依據(jù)，我們能夠識別出另外兩個(gè)具有相同功能但 C&C 不同的 DEX 文件，這表明 Android 惡意軟件的開發(fā)代碼和生產(chǎn)代碼處于活躍的開發(fā)過程以及多個(gè)版本。

只有特定服務(wù)發(fā)送的文本消息，并與C&C提供的正則表達(dá)式匹配，才會(huì)被攔截。這可能會(huì)阻止 Android 手機(jī)的用戶發(fā)現(xiàn)惡意活動(dòng)。該惡意軟件保持低調(diào)，僅收集與請求的應(yīng)用程序匹配的文本消息，以便它可以秘密地長時(shí)間繼續(xù)此活動(dòng)。如果 SMS PVA 服務(wù)允許其客戶訪問受感染手機(jī)上的所有消息，那么用戶將很快注意到這個(gè)問題。

SMS PVA 服務(wù)還控制客戶可以接收文本消息的平臺(tái)類型(如圖 1 所示)，這意味著該服務(wù)背后的運(yùn)營商可以確保受感染的手機(jī)上不會(huì)發(fā)生明顯的惡意活動(dòng)。例如，如果該服務(wù)允許銀行應(yīng)用程序的雙因素身份驗(yàn)證 (2FA) 被盜，那么真實(shí)用戶將收到警報(bào)并采取行動(dòng)，這將導(dǎo)致 SMS PVA 服務(wù)失去其資產(chǎn)。

使用住宅代理

住宅代理也充當(dāng)計(jì)算機(jī)和服務(wù)器目的地之間的中介。但中間人不是數(shù)據(jù)中心的專用服務(wù)器，這就是互聯(lián)網(wǎng)用戶提供的住宅DSL或電纜。

在線平臺(tái)和服務(wù)通常通過在注冊期間驗(yàn)證用戶的位置來驗(yàn)證新帳戶。例如，可能需要一個(gè) IP 地址來匹配用于帳戶的電話號碼的地理位置。

為了避免這種情況，SMS PVA 用戶使用第三方 IP 掩碼服務(wù)，例如代理或虛擬專用網(wǎng)絡(luò) (VPN)，來更改他們嘗試連接到所需服務(wù)時(shí)將記錄的 IP 地址。使用 Trend Micro? Smart Protection Network? (SPN) 檢測，我們發(fā)現(xiàn) SMS PVA 服務(wù)的用戶廣泛使用各種代理服務(wù)和分布式 VPN 平臺(tái)來繞過 IP 地理位置驗(yàn)證檢查。

用戶注冊請求和SMS PVA API請求通常來自VPN服務(wù)或住宅代理系統(tǒng)的出口節(jié)點(diǎn)。這意味著SMS PVA服務(wù)的用戶通常將其與某種住宅代理或VPN服務(wù)結(jié)合使用，允許他們選擇IP出口節(jié)點(diǎn)的國家，以匹配用于注冊服務(wù)的電話號碼。

SMS PVA服務(wù)的安全影響及其對短信驗(yàn)證的影響

短信驗(yàn)證已成為許多在線平臺(tái)和應(yīng)用程序的默認(rèn)身份驗(yàn)證方式。許多 IT 部門將 SMS 驗(yàn)證視為用戶帳戶的“安全”黑盒驗(yàn)證工具。然而，目前，在線服務(wù)和平臺(tái)應(yīng)該警惕過度依賴短信驗(yàn)證。這些 SMS PVA 服務(wù)證明網(wǎng)絡(luò)犯罪分子確實(shí)能夠大規(guī)模破壞 SMS 驗(yàn)證。這也意味著平臺(tái)上可能存在經(jīng)過身份驗(yàn)證和驗(yàn)證的帳戶，其行為類似于木馬、釣魚攻擊或欺詐性帳戶。

某些平臺(tái)上的“真實(shí)用戶行為”可以被具有 SMS PVA 帳戶的攻擊者操縱。這意味著平臺(tái)可能會(huì)因詐騙和欺詐而增加成本。平臺(tái)甚至可能(直接或間接)涉及人身傷害或財(cái)產(chǎn)損失。

根據(jù)之前對虛假賬戶的使用，我們可以預(yù)測攻擊者將如何在他們的詐騙和犯罪活動(dòng)中使用這些服務(wù)。

匿名工具

網(wǎng)絡(luò)犯罪分子在許多不同的活動(dòng)中多次使用了一次性號碼，因?yàn)樗麄兛梢宰再~戶而不用擔(dān)心被追蹤。此外，由于他們使用的受感染的手機(jī)號碼與真實(shí)的人聯(lián)系在一起，執(zhí)法部門對他們的賬戶的調(diào)查將追蹤到另一個(gè)人。

我們看到了一個(gè)與“先買后付”計(jì)劃相關(guān)的濫用示例。在此示例中，幾個(gè)惡意軟件樣本使用 SMS PVA 服務(wù)獲取電話號碼并將這些號碼與現(xiàn)有的在線支付服務(wù)帳戶相關(guān)聯(lián)。之后，攻擊者嘗試從在線購物網(wǎng)站進(jìn)行購買交易。盡管我們只確定了此類活動(dòng)的少數(shù)樣本，但我們相信，當(dāng)自動(dòng)化時(shí)，這些賬戶可以被廣泛用于進(jìn)行非法購買或洗錢活動(dòng)。

這些服務(wù)還可用于避免對商業(yè)平臺(tái)上的損害或非法活動(dòng)承擔(dān)責(zé)任。2020年，俄羅斯一家汽車共享服務(wù)公司指控一名男子卷入一場車禍。然而，據(jù)透露，該共享汽車服務(wù)的賬號是一個(gè)詐騙賬號，使用被告的姓名和一次性SIM卡進(jìn)行驗(yàn)證。

以真實(shí)的行為協(xié)調(diào)

以真實(shí)的行為協(xié)調(diào)通常用于在社交網(wǎng)絡(luò)中傳播和放大信息(通常是錯(cuò)誤信息)。這可以使用 SMS PVA 服務(wù)以必要的速度和精度大規(guī)模、快速地完成。大型活動(dòng)可用于操縱公眾對品牌、服務(wù)、政治觀點(diǎn)或政府計(jì)劃(如疫苗接種運(yùn)動(dòng))的看法。假新聞的組織者甚至可以使用 SMS PVA 服務(wù)來創(chuàng)建在線攻擊活動(dòng)。

一些 SMS PVA 服務(wù)在不同國家/地區(qū)擁有數(shù)千部受感染的智能手機(jī)，該服務(wù)可以允許客戶在這些服務(wù)背后的攻擊者所針對的特定國家批量注冊社交媒體賬戶。

濫用登錄獎(jiǎng)金

使用 SMS PVA 服務(wù)也可以濫用登錄獎(jiǎng)金(通常在注冊新帳戶時(shí)提供)。例如，在東歐、非洲和西亞流行的叫車服務(wù) Bolt 通過為每個(gè)新賬戶贈(zèng)送免費(fèi)乘車積分來激勵(lì)新的登錄。一些 SMS PVA 服務(wù)意識到這是一種潛在的獲利計(jì)劃，甚至宣傳“無限打折的 Bolt 乘車”來說服人們使用 SMS PVA 服務(wù)。

總結(jié)

核心安全問題是，企業(yè)有能力監(jiān)控和攔截來自世界各地?cái)?shù)以萬計(jì)設(shè)備的短信，然后通過向任何有能力付費(fèi)的人提供服務(wù)，從這種攔截中獲利。另一個(gè)令人毛骨悚然的想法是，C&C 提供的可定制的正則表達(dá)式模式意味著短信攔截能力不僅限于驗(yàn)證碼。它還可以擴(kuò)展到收集一次性密碼(OTP)令牌，甚至被專制政權(quán)用作監(jiān)控工具。

SMS PVA 服務(wù)運(yùn)營不僅顯示了一次性短信驗(yàn)證作為主要驗(yàn)證手段的漏洞和不足，也凸顯了對更好的移動(dòng)安全性和隱私性的需求。感染這些手機(jī)的惡意軟件可能會(huì)被用戶無意中下載，或者可能意味著供應(yīng)鏈安全存在漏洞。

參考及來源：https://www.trendmicro.com/en_us/research/22/b/sms-pva-services-use-of-infected-android-phones-reveals-flaws-in-sms-verification.html

文章來源：嘶吼專業(yè)版