利用短信传播病毒案例调查

收到诈骗短信，我查到短信可能传播近4万次，诈骗金额可能达1000万台币。于是我打165反诈骗专线报案了，案件编号是1030216505，希望过段时间能看到诈骗集团被抓获的新闻。

晚上收到一条短信，提示是黑猫宅急便的短信，黑猫宅急便是快递公司，我的“philips x100”还不能完全显示繁体汉字，我把短信保存到SIM卡里，换到一台老婆的旧手机上，终于完整显示所有文字了：

接下来 把 http://goo.gl/dyLQnR 这个地址加上.info 就可以查看这个短链接被传播的效果，
http://goo.gl/dyLQnR.info

用我的GOOGLE帐号登录，一看这个短链接，两小时内被打开806次，是2014年5月14日上午8点创建的短链接，4天来被打开9214次，最近的四十分钟内就被打开648次。也就是说，+886925653767 （运营商可能是远传电信）号码这几天至少发送了9214条短信，至少有9214个人好奇或上当打开了这个链接。

这个链接是做什么用的呢？ 在电脑上打开一下，原来是一个放在Dopbox的共享的文件，

这个文件是憑證.apk, 这样的链接如果在Android手机上打开，是不会出现上面的画面，会直接提示安装到手机当中。我没有有手机上测试，我用wget下载这个短链接，直接就下载到了apk文件

zola$ wget http://goo.gl/dyLQnR

–2014-05-17 21:17:28–  http://goo.gl/dyLQnR

Resolving goo.gl… 173.194.72.139, 173.194.72.138, 173.194.72.102, …

Connecting to goo.gl|173.194.72.139|:80… connected.

HTTP request sent, awaiting response… 301 Moved Permanently

Location: https://www.dropbox.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?m= [following]

–2014-05-17 21:17:28–  https://www.dropbox.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?m=

Resolving www.dropbox.com… 108.160.167.208

Connecting to www.dropbox.com|108.160.167.208|:443… connected.

HTTP request sent, awaiting response… 302 FOUND

Location: https://dl.dropboxusercontent.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?token_hash=AAEI0Qxh2KbE9FKq8Nz05-0M_f5VGgAcILbhyKzQVyR7dg&expiry=1400336248 [following]

–2014-05-17 21:17:29–  https://dl.dropboxusercontent.com/s/19rrhpom73gj7wn/%E6%86%91%E8%AD%89.apk?token_hash=AAEI0Qxh2KbE9FKq8Nz05-0M_f5VGgAcILbhyKzQVyR7dg&expiry=1400336248

Resolving dl.dropboxusercontent.com… 50.17.185.111, 107.21.115.150, 23.21.154.121, …

Connecting to dl.dropboxusercontent.com|50.17.185.111|:443… connected.

HTTP request sent, awaiting response… 200 OK

Length: 128315 (125K) [application/vnd.android.package-archive]

Saving to: €˜dyLQnR.3€™

100%[==================================================================>] 128,315      184KB/s   in 0.7s   

2014-05-17 21:17:30 (184 KB/s) – €˜dyLQnR.3€™ saved [128315/12831

这个   憑證.apk 是干什么的呢？我把下载下来的 憑證.apk 上传到virustotal，结果大量杀毒软件告诉我这是一个恶意发送短信的软件，病毒扫描结果在这里
https://www.virustotal.com/zh-cn/file/b8128981d2cf23db4436b7408c3753a536161b20a6616d98dd7d2b859c3566b7/analysis/1400332174/
扫描结果截图如下：

我想起最近老婆从学校拿回来一张政府发放的警告和提示，我从废纸篓子里找到了：

原来这恶意软件是靠偷偷发短信来赚钱的啊，一次能偷5000台币，折合1000多人民币，这生意不错啊，抓住幕后黑手就能让他去监狱呆好长一段时间了吧？

咦，这里面又有一个GOOGLE的短链接  http://goo.gl/kZcdvt，我再去看看这个链接被打开多少次

我 输入 http://goo.gl/kZcdvt.info ,查到 又是  %E6%86%91%E8%AD%89.apk，又是 憑證.apk  ，这个链接自2014年4月13号被传播29149次，地理信息显示在台湾被打开28549次，台湾的Android手机占有率很高，如果有80％的Android手机，20%人打开, 50%的人安装成功，每个人损失5000台币，28549*0.8*0.2*0.5*5000=11419600台币，约1千1百万台币的钱被偷走，要是台湾警方给力一点，从手机号码登记者入手，从短信扣费服务商的支付试入手，我就不信抓不到这个病毒制造者。

我觉得我应该提醒 +886925653767 赶紧跑路了，我于是发了条短信给 +886925653767，我的手机不能写繁体字，所以我写英文，内容是：Drop your phone, cops coming。意思是赶紧扔掉你的电话，警察要来了。警察要基于  +886925653767 的基站来定位来抓这个人也是很容易的。就看台湾警察有没有这个能力和财力去抓了。我先吓唬一下他。

我的Facbook上有人在地方法院檢察署工作，她们有许多平民没有的资源，假如她们出手的话，应该很容易能抓到这种黑客，不知道抓这种破获涉及1000万台币的案件能不能给她们带来成就感。先发BLOG里再发链接到FB上，谁有兴趣谁跟进好了，如果能留言回报一下最终结果，那就更感激了。

BTW：对于这种通过手机短信进行Malware传播的手段，我们这种长期被“国家资助的木马邮件”攻击的人表示太低端了，我这几年收集了不少来“国家资助的针对社会活动者的木马邮件”供研究人员分析来着： http://mumayoujian.zuo.la ，比较遗憾的是，我没有人力和财力去抓幕后的黑客，只能存档纪念一下而已。

2014年6月6日更新：
在Twitter看到 @htchien 收到诈骗短信： https://twitter.com/htchien/status/474770475181035521

http://goo.gl/4dJfTb ，加 .info 可得到 http://goo.gl/4dJfTb.info
病毒文件名是 https://www.dropbox.com/s/hpgzf8t5hohcg8s/通知單.apk 目前被传播888次。

https://www.virustotal.com/zh-cn/file/970433579008ee5cfe34586443427d44820df7430a20e3acca5b130a7aa22949/analysis/

看到 @garykb8 也收到诈骗短信： https://twitter.com/garykb8/status/473808815691800576

http://goo.gl/BZCwfH 加.info 可以看到传播次数 http://goo.gl/BZCwfH.info 目前传播次数22508次。
这个病毒传播做得有点巧妙，用电脑打开会真的看到一张聚会照片，但用Android手机会下载到病毒，链接会跳到  http://211.44.3.186/11/hotshow.php ，病毒文件在 http://211.44.3.186/11/browse.apk  文件统计数据全在 http://211.44.3.186/11/photoinfo.txt ，有204M之巨. 211.44.3.186 是一个韩国IP，但每次发短信的手机是台湾手机，应该有机会抓到这个病毒传播者。

2014年06月10日更新：
又收到 来自＋886912019613 发来的“你的民事通知［台北地院］  http://goo.gl/H2zeIm.info
实际地址：  https://www.dropbox.com/s/5cyd1p5pm4alh22/通知單.apk  目前传播次数20762次。