您所在的位置: 首頁 >
安全研究 >
安全通告 >
SMS PVA服務(wù)中出現(xiàn)的短信驗證漏洞
某些 SMS PVA 服務(wù)允許其客戶創(chuàng)建一次性用戶資料或在許多流行的在線平臺上注冊多個帳戶。犯罪分子可能會濫用這些服務(wù)進行欺詐或其他惡意活動。
在過去兩年中,短信服務(wù) (SMS) 電話驗證帳戶 (PVA) 服務(wù)有所增加。SMS PVA 服務(wù)提供可供客戶用于注冊在線服務(wù)和平臺的替代手機號碼。這些類型的服務(wù)可以繞過在線平臺和服務(wù)廣泛用于驗證新帳戶的 SMS 驗證機制。攻擊者可以批量注冊一次性帳戶或為犯罪活動創(chuàng)建電話驗證帳戶。
接下來,我們對使用smspva[.]net網(wǎng)站的SMS PVA提供商的調(diào)查結(jié)果。
SMS PVA 運行進程
Smspva[.]net 和其他 SMS PVA 服務(wù)具有基本相同的關(guān)鍵特征:
1.提供一次性使用的手機號碼,并且可以使用許多不同國家的號碼;
2.平臺用戶只能為服務(wù)運營商預(yù)定義的特定應(yīng)用程序請求文本消息,在某些網(wǎng)站上標記為“項目”。
3.不提供電話號碼的長期租用。
用于選擇可供 smspva[.]net 用戶使用的 SMS“項目”的下拉菜單
這個特定的 SMS PVA 服務(wù)提供商能夠在不同國家/地區(qū)維護許多手機號碼。值得注意的是,維護這些數(shù)字的成本超過了向客戶收取的服務(wù)費率。那么,這項服務(wù)如何設(shè)法繼續(xù)其業(yè)務(wù)運營呢?
用于攔截 SMS 的惡意 Android 應(yīng)用程序
在我們的研究過程中,我們發(fā)現(xiàn)有證據(jù)表明這種特定 SMS PVA 操作的功能是建立在感染了 SMS 攔截惡意軟件的 Android 手機上的。
我們通過 API URL 和網(wǎng)站本身進行了調(diào)查,發(fā)現(xiàn) smspva[.]net 的 API 名稱和功能是獨一無二的,但如下圖所示,enjoynut[.]cn 在子域 lm.enjoynut[.]cn 上有一個非常相似的網(wǎng)站。
smspva[.]net(左)與 lm.enjoynut[.]cn(右)的屏幕截圖
Smspva[.]net 和 sm.enjoynut[.]cn 具有相同的登錄頁面和相同的徽標,以及相同的 API 文檔。在比較兩個域之間的用戶流量后,我們觀察到 smspva[.]net 接收到的流量要多得多。因此,我們認為 enjoynut[.]cn 被用作測試服務(wù)器,而 smspva[.]net 是生產(chǎn)服務(wù)器。
enjoynut[.]cn 連接是一個重要的支點,因為該域被多個 Android 惡意軟件變體使用。
使用速度-時間 (VT) 圖表透視工件
DEX 文件是一個帶有 sha1 e83ec56dfb094fb87b57b67449d23a18208d3091 的文件,我們將其檢測為 AndroidOS_Guerilla 惡意軟件的變體。這個特定的 DEX 文件使用 cardking.ejoynut[.]cn 作為調(diào)試命令和控制 (C&C),并使用 sublemontree[.]com 作為C&C的結(jié)果,如下圖所示。
Cardking.enjoynut[.]cn用來調(diào)試 C&C 以及 sublemontree[.]com 被用來制作 C&C
該DEX文件用于攔截受影響的Android手機收到的短信,并根據(jù)C&C接收到的正則表達式(regex)規(guī)則進行檢查,然后將匹配正則表達式的短信發(fā)送給C&C。
攔截傳入 SMS 的代碼
通過WebSocket從服務(wù)器接收正則表達式的代碼
用于發(fā)送與所提供的正則表達式匹配的文本消息的代碼
使用這些代碼片段和 C&C 流量作為依據(jù),我們能夠識別出另外兩個具有相同功能但 C&C 不同的 DEX 文件,這表明 Android 惡意軟件的開發(fā)代碼和生產(chǎn)代碼處于活躍的開發(fā)過程以及多個版本。
只有特定服務(wù)發(fā)送的文本消息,并與C&C提供的正則表達式匹配,才會被攔截。這可能會阻止 Android 手機的用戶發(fā)現(xiàn)惡意活動。該惡意軟件保持低調(diào),僅收集與請求的應(yīng)用程序匹配的文本消息,以便它可以秘密地長時間繼續(xù)此活動。如果 SMS PVA 服務(wù)允許其客戶訪問受感染手機上的所有消息,那么用戶將很快注意到這個問題。
SMS PVA 服務(wù)還控制客戶可以接收文本消息的平臺類型(如圖 1 所示),這意味著該服務(wù)背后的運營商可以確保受感染的手機上不會發(fā)生明顯的惡意活動。例如,如果該服務(wù)允許銀行應(yīng)用程序的雙因素身份驗證 (2FA) 被盜,那么真實用戶將收到警報并采取行動,這將導致 SMS PVA 服務(wù)失去其資產(chǎn)。
使用住宅代理
住宅代理也充當計算機和服務(wù)器目的地之間的中介。但中間人不是數(shù)據(jù)中心的專用服務(wù)器,這就是互聯(lián)網(wǎng)用戶提供的住宅DSL或電纜。
在線平臺和服務(wù)通常通過在注冊期間驗證用戶的位置來驗證新帳戶。例如,可能需要一個 IP 地址來匹配用于帳戶的電話號碼的地理位置。
為了避免這種情況,SMS PVA 用戶使用第三方 IP 掩碼服務(wù),例如代理或虛擬專用網(wǎng)絡(luò) (VPN),來更改他們嘗試連接到所需服務(wù)時將記錄的 IP 地址。使用 Trend Micro? Smart Protection Network? (SPN) 檢測,我們發(fā)現(xiàn) SMS PVA 服務(wù)的用戶廣泛使用各種代理服務(wù)和分布式 VPN 平臺來繞過 IP 地理位置驗證檢查。
用戶注冊請求和SMS PVA API請求通常來自VPN服務(wù)或住宅代理系統(tǒng)的出口節(jié)點。這意味著SMS PVA服務(wù)的用戶通常將其與某種住宅代理或VPN服務(wù)結(jié)合使用,允許他們選擇IP出口節(jié)點的國家,以匹配用于注冊服務(wù)的電話號碼。
SMS PVA服務(wù)的安全影響及其對短信驗證的影響
短信驗證已成為許多在線平臺和應(yīng)用程序的默認身份驗證方式。許多 IT 部門將 SMS 驗證視為用戶帳戶的“安全”黑盒驗證工具。然而,目前,在線服務(wù)和平臺應(yīng)該警惕過度依賴短信驗證。這些 SMS PVA 服務(wù)證明網(wǎng)絡(luò)犯罪分子確實能夠大規(guī)模破壞 SMS 驗證。這也意味著平臺上可能存在經(jīng)過身份驗證和驗證的帳戶,其行為類似于木馬、釣魚攻擊或欺詐性帳戶。
某些平臺上的“真實用戶行為”可以被具有 SMS PVA 帳戶的攻擊者操縱。這意味著平臺可能會因詐騙和欺詐而增加成本。平臺甚至可能(直接或間接)涉及人身傷害或財產(chǎn)損失。
根據(jù)之前對虛假賬戶的使用,我們可以預(yù)測攻擊者將如何在他們的詐騙和犯罪活動中使用這些服務(wù)。
匿名工具
網(wǎng)絡(luò)犯罪分子在許多不同的活動中多次使用了一次性號碼,因為他們可以注冊賬戶而不用擔心被追蹤。此外,由于他們使用的受感染的手機號碼與真實的人聯(lián)系在一起,執(zhí)法部門對他們的賬戶的調(diào)查將追蹤到另一個人。
我們看到了一個與“先買后付”計劃相關(guān)的濫用示例。在此示例中,幾個惡意軟件樣本使用 SMS PVA 服務(wù)獲取電話號碼并將這些號碼與現(xiàn)有的在線支付服務(wù)帳戶相關(guān)聯(lián)。之后,攻擊者嘗試從在線購物網(wǎng)站進行購買交易。盡管我們只確定了此類活動的少數(shù)樣本,但我們相信,當自動化時,這些賬戶可以被廣泛用于進行非法購買或洗錢活動。
這些服務(wù)還可用于避免對商業(yè)平臺上的損害或非法活動承擔責任。2020年,俄羅斯一家汽車共享服務(wù)公司指控一名男子卷入一場車禍。然而,據(jù)透露,該共享汽車服務(wù)的賬號是一個詐騙賬號,使用被告的姓名和一次性SIM卡進行驗證。
以真實的行為協(xié)調(diào)
以真實的行為協(xié)調(diào)通常用于在社交網(wǎng)絡(luò)中傳播和放大信息(通常是錯誤信息)。這可以使用 SMS PVA 服務(wù)以必要的速度和精度大規(guī)模、快速地完成。大型活動可用于操縱公眾對品牌、服務(wù)、政治觀點或政府計劃(如疫苗接種運動)的看法。假新聞的組織者甚至可以使用 SMS PVA 服務(wù)來創(chuàng)建在線攻擊活動。
一些 SMS PVA 服務(wù)在不同國家/地區(qū)擁有數(shù)千部受感染的智能手機,該服務(wù)可以允許客戶在這些服務(wù)背后的攻擊者所針對的特定國家批量注冊社交媒體賬戶。
濫用登錄獎金
使用 SMS PVA 服務(wù)也可以濫用登錄獎金(通常在注冊新帳戶時提供)。例如,在東歐、非洲和西亞流行的叫車服務(wù) Bolt 通過為每個新賬戶贈送免費乘車積分來激勵新的登錄。一些 SMS PVA 服務(wù)意識到這是一種潛在的獲利計劃,甚至宣傳“無限打折的 Bolt 乘車”來說服人們使用 SMS PVA 服務(wù)。
總結(jié)
核心安全問題是,企業(yè)有能力監(jiān)控和攔截來自世界各地數(shù)以萬計設(shè)備的短信,然后通過向任何有能力付費的人提供服務(wù),從這種攔截中獲利。另一個令人毛骨悚然的想法是,C&C 提供的可定制的正則表達式模式意味著短信攔截能力不僅限于驗證碼。它還可以擴展到收集一次性密碼(OTP)令牌,甚至被專制政權(quán)用作監(jiān)控工具。
SMS PVA 服務(wù)運營不僅顯示了一次性短信驗證作為主要驗證手段的漏洞和不足,也凸顯了對更好的移動安全性和隱私性的需求。感染這些手機的惡意軟件可能會被用戶無意中下載,或者可能意味著供應(yīng)鏈安全存在漏洞。
參考及來源:https://www.trendmicro.com/en_us/research/22/b/sms-pva-services-use-of-infected-android-phones-reveals-flaws-in-sms-verification.html
文章來源:嘶吼專業(yè)版