安全通報2013-09-05:手機病毒大揭密,那些您不知道的事:小心病毒使帳單爆增!

2014/03/13 更新:已將「快遞簽收通知單」與「酒後表白」相關資訊整理至「簡訊病毒 – 相關資訊分享回報區」,敬請留意。

2013/10/03 更新:為了讓大家方便查詢與分享,避免親朋好友受害,AegisLab 把最新的資料整理至「簡訊病毒 – 相關資訊分享回報區」,並會不定時更新。

 

上個月,不少人收到了「你被偷拍了」的簡訊,簡訊內容的URL:hxxp://199.101.117.21/index.php,會下載一個惡意的APK,AegisLab在第一時間即取得病毒特徵碼,並予以使用者安全的防護!

新聞報導:「你被偷拍了」簡訊有毒 竹科防毒業者抓到病毒碼

 

因受害者不斷的增加,AegisLab 決定公開一些細節,希望不要再有受害者了!

2013/09/10 更新:目前駭客手上的名單已經超過十五萬人!

根據 AegisLab 掌握的資訊,駭客手上握有一份超過一萬人的名單,駭客會透過這些清單去發送簡訊,簡訊內容會有受害者的名字、一段吸引你去點擊的文字URL,AegisLab 收集到了多種版本的簡訊樣本: 

   

     

 

一旦點選裡面的網址,會下載一個惡意APP,如果選擇安裝,手機即會"中毒",目前受害者已經超過一千人,該 APP 裝起來之後,會先傳送手機資訊給C&C Server,底下為其中一筆真實資料: 

 

最後再加上APP裡面的兩個值:user_idtarget_id

user_id及target_id為SERVER區分手機用的,所以跟SERVER連線都會帶這兩個值!

 

剛安裝時會跟SERVER要一個URL(帶user_id及target_id),這個URL為無名小站相簿裡的一張照片,如果在APP還沒跟SERVER要這個URL之前開啟APP的話,畫面會是黑的,等到APP拿到URL之後,才會顯示無名小站的那張照片!

 

接下來,會收到幾個回傳值:

0935120188

+886936019061

+886911513075

+886911510522

839

 

+886936019061+886911513075+886911510522這幾個值,其實是駭客用來申請「小額付費」服務的電話!

 

下圖為 AegisLab 所收集到的部份資訊,黑體字是駭客所使用的 user_id,紅色為上述駭客申請小額付費服務的手機號碼,藍色為受害者的手機號碼或 IMEI,可以看出駭客利用小額付費在謀取不當之財,還有受害者已經快被刷爆了!!

 

另外,此惡意APP在被害者的朋友傳簡訊進來時,APP會先將資訊記錄下來,當被害者回簡訊的時候,才會將簡訊內容傳到SERVER。而當一個人傳的簡訊內容包含"*#060#"的話,APP會將簡訊給攔下來,被害者不會知道有這封簡訊傳進來!

 

駭客所使用的主機位於韓國,作業系統為 Windows Server 2003 簡體中文版

 

 

我們可以歸納出整個惡意的流程:

1.駭客依據收集到的電話清單,發送吸引你去點擊的簡訊內容!

2.收到駭客所發送的簡訊後,點擊簡訊內的URL,下載了一個惡意的APK!

3.駭客利用你的電話號碼來謀取小額付費的利益、竊取你的簡訊及幫他散播病毒!

關於騙取小額付費的例子,AegisLab也曾經提過:安全通報2012-10-09: 假的Yahoo攝影聯合會網站,欺騙使用者,謀取小額付費的利益

 

2013/09/06 更新:今天又發現變種了,這次新增電話攔截的功能,如果撥打 110 或是 165反詐騙專線的話,會直接掛斷!

2013/10/1 更新:感謝兩位熱心人士回報,讓大家避免受害,目前最新的簡訊內容為:「XXX,我生日那天的照片,人好多好開心喔」與「XXX,我們中秋烤肉的照片,好多人喔」;最新的惡意網址為:「http://photo.on-XXX-XXX.tv」、「http://photo.liXXX-XXX.com」、「http://photo.dXXX-it.net」、「http://photo.better-tXXX.tv」、「http://photo.fXXX-nm.com」,請大家多多留意!

2013/10/03 更新:為了讓大家方便查詢與分享,避免親朋好友受害,AegisLab 把最新的資料整理至「簡訊病毒 – 相關資訊分享回報區」,並會不定時更新。

Analyzed by Rex, Luke and Leo.

 

353 thoughts on “安全通報2013-09-05:手機病毒大揭密,那些您不知道的事:小心病毒使帳單爆增!

    • 簡訊內容:xxx,看著這些照片,好懷念以前的日子喔http://bbs.is-a-lawyer.com
      發號電話:0937-436625
      請問我要怎麼知道我有沒有中毒

        • 我有安裝line
          可是他是傳簡訊給我
          我有布小心點進去那個網頁
          整個手機呈現黑色頁面
          我就趕快關閉網路
          和回覆鍵
          現在手機看上去挺正常
          但我不知到底有沒有中毒

        • 您好,您說不小心點去那網頁,請問是否有下載一個APP呢?如果有,請問您有安裝它嗎?

          如果您沒有安裝就不會中毒!

          • 好像沒有下載東西下來..
            其實我也不太確定
            布過還是謝謝你的幫助︿︿

          • 您好,您可以下載防毒軟體(例如我們的 AegisLab Antivirus Free 或是 Premium), 解除安裝有疑慮的程式。

            可以與您的電信公司確認,是否有發送大量簡訊或是不正常的小額付費交易。

            另外沒有特殊需求的話,也建議您關閉小額付費的服務!

            也謝謝您的回覆與支持,如果還有問題,也歡迎您繼續提問!

    • 如果沒有安裝就不會,不過如果有收到簡訊,就要小心您的姓名及電話是否已經外流了。

  1. 請問一下 如果是傳統手機接到,但是我有回傳一封簡訊問他是誰,沒點網址,這樣會有影響嗎?

      • 請問若是2G手機接到有網址的簡訊,
        點進去了但因為不能上網點不進去,
        這樣我手機會中毒或被利用嗎?
        另外我還把那串網址打入電腦內尋找但找不到這網站,
        這樣我電腦會中毒或被利用嗎?

  2. 您好
    如果點了簡訊也安裝了app,出現了小額付費確認訊息,但沒理會,手機也重新系統還原了,這樣還會有影響嗎?謝謝

    • 您好,建議您立即跟電信公司聯繫一下,看是否有被”盜刷”。那隻病毒有竊取簡訊的功能,所以對方可以拿的到小額付費的認證碼喔!

      • 謝謝告知,
        因為我拿的IPHONE 4 也有收到類似簡訊,也不小心誤點進去.
        不知是否需刪除什麼檔案
        還是將該封簡訊刪除即可?

      • 謝謝你的回覆
        想請問一下 iphone手機誤點進去後,有需要去刪除甚麼檔案嗎?
        避免病毒殘留
        謝謝

        • 您好,目前 iPhone 不受這個病毒的影響,基本上不需要刪除任何檔案,但提醒您以後不明的連結別亂點 🙂

  3. 請問不小心下載了apk
    是只要不安裝到就沒事嗎?

    把下載到的apk移除了就好嗎
    需要作其他動作嗎?

    謝謝回答

    • 是的,只要不要安裝就不會受影響,將此APK移除即可!

      不過如果有收到簡訊,就要小心您的姓名及電話是否已經外流了!

  4. 請教一下
    已安裝也中標,狂發了一堆簡訊出去
    中毒的時候手機正剛好跟電腦做連線
    而我的電腦是用3G行動網卡上網
    所以想請問這病毒會連帶影響到我的電腦跟行動網卡嗎?
    還有手機目前已回復原廠設定
    這樣這個病毒是不是就消失了?不會再傳簡訊出去了?

    • 您好,這病毒不會影響到您的電腦和行動網卡。

      是的,手機回復原廠設定,此病毒就消失不會再傳簡訊出去了!

       

  5. 我想請問一下~是不是安卓系統比較容易有這個問題發生,我在去年的時候就遇過這個問題了~拿的是htc~~xl型號的手機

    • 是的,在目前智慧型手機的作業系統裡,安卓(android)系統的惡意程式 遠比其他作業系統多出很多!

  6. 對方的手機號碼要給你嗎
    內容開頭就是我的名字。然後說 這是中秋節的照片。附上網址給我

  7. 你好,我今天也收到一則類似的簡訊
    對方電話號碼是+886928983413
    內容:(我的名字),我生日那天的照片,人好多好開心喔http://photo.on-the-web.tv
    而我也點到了該網址,開啟了Safari,裡面是無名相簿的照片,而我手機是iphone4s~
    想請教我這樣是否會受到資料(信用卡)被盜取?

    • 您好,目前 iPhone 不受影響,請放心!
      也謝謝您的資訊分享,我們已經更新相關資訊,希望能避免其他人受害。

    • 您好,收到了~
      謝謝您的資訊分享,我們也已經更新了相關資訊,希望能避免更多人受害。

  8. 我剛剛收到的簡訊是 +886928299083,內容是:XXX,這是表姐在日本的留學生活,變了好多呢http: // photo. cechire .com。
    超連結已多添加空格處理。

  9. 你好~我提供自身經歷 供大家參考~
    剛剛早上4點睡夢中 收到三封簡訊如下

    +886911513500 提醒申請「簡訊轉接」服務,已指定個人簡訊轉發至zhangdong

    +886911510522 正在使用小額付款,此次交易驗證碼為*****,請於10分鐘內回填839認證網頁,逾時作廢,商品費用1000員將於電信帳單收取。

    +886911513023 你已於中華電信839小額付款服務購買數位儲值服務小額商品1000元,將於下期電信帳單收取,如有任何疑問,請手機直撥893洽詢


    起床,盥洗完後發現3封簡訊
    立即查證800確定為中華電信客服電話後撥打確認
    撥打800~
    【客服人員告知,該筆交易已完成並有紀錄—當下動作”停止839小額付款功能”&停止線上簡訊轉寄動作,建議立即更改emome密碼,相關資料只能請後臺到調閱查詢,並做紀錄,事後會請專員連繫我】

    ※期間忙線時間就等候快5分鐘,所以就算4:05立即警覺反應也來不及…
    因為4:06完成交易….

    <收到839小額付款驗證碼–>小額付款交易成功>>
    1000元就噴走了…

    撥打165反詐騙專線,該專員立即幫我報案,說半小時內轄區員警會聯繫我
    接到派出所電話,到所報案

    期間筆錄&說明事由等等~領取報案三聯單

    接下來動作~

    等收到帳單通知,拿報案三聯單給中華電信銷帳,補給警局電話費帳單資料即可。

    參照類似處理方式
    http://www.mobile01.com/topicdetail.php?f=399&t=2077573&p=9

    • 謝謝您的資訊分享,這幾天有不少「簡訊轉接」的受害者,我們正在彙整相關資料,以方便大家查詢,避免受害。

    • 小江你好:
      我昨天也收到病毒簡訊,
      雖然沒有誤點連結,
      想請問你事情後續處理的如何,是否有取消小額付款?
      或者之後警方有何作為呢?
      謝謝!

      我收到的簡訊:
      “我的名字,
      、看著這些照片,
      好懷念以前的日子喔
      http://from.from-ne.com

  10. 我收到的是⋯
    +886 928-179-399
    XX(我名字)
    ,上次同學聚會的照片,大家都有來,好熱鬧喔 http:// photo. on-the-web. tv
    ~~~~~~
    用iphone跟一般桌電連結是到無名相簿!我也有回訊息說⋯看到不會中毒就放心了!以後不趕這麼快手了=_=

  11. 這邊也有收到,用電腦開出來的狀況是連到某個無名相簿去,一開始看到自己名字有點嚇一跳,想說是不是那個朋友換手機然後傳簡訊過來,但當發現按下網址會下載Apk檔後我就覺得不太對勁,取消下載後先用電腦開網頁,怎麼開都抓不到apk我就覺得有問題,上網一查發現果然是病毒,還好apk檔就算抓下來也不會自動執行,不要安裝就好,希望大家對於這種網址看起來很奇怪的簡訊還是沒事別點,以免造成不必要的損失…

    http://imgur.com/7bZvkuB

  12. 不好意思想請問一下,

    我也收到這個惡意簡訊了, 本想刪除但誤點了惡意網址,

    檢查發現似乎惡意apk有下載成功, 但不確定有沒有安裝

    我的手機是TaiwanMobile A3 (Android 2.3.6)

    我該怎麼辦? 謝謝

    • 您好,
      建議您進行底下的動作:
      1. 用手機的防毒軟體掃掃看。
      2. 與電信公司聯繫看看,看是否有發送大量簡訊、或是不正常的小額付費交易,也建議您關閉小額付費的服務。

      若還有問題,也歡迎您繼續詢問,謝謝。

  13. 您好 今天收到的詐騙訊息是 xxx(本名). 上次同學聚會的照片,大家都有來,好熱鬧喔 網址http:// photo . from-ia . com (網址已空格處理)

    簡訊來自0933-654-248

    大概兩個月前有收過另一則同樣手法的不過簡訊已刪除 希望有幫助

  14. 您好!!
    我今日收到的詐騙訊息是 xxx(本名). 上次同學聚會的照片,大家都有來,好熱鬧喔
    網址是: http://photo.scrapping.cc
    簡訊電話為0933416386

    點擊連結後直接連接到無名相簿。

    手機為iphone 4 有越獄過。
    想請問這樣是否會中毒呢?

    • 您好,目前這隻病毒是針對 Android 系統,所以 iPhone 不受影響。不過 iOS 已經有越來越多的惡意程式,而且收到簡訊就表示個資有外洩,以後還是要多多留意喔。

  15. 你好,我最近收到帳單裡面多了2筆3000元的小額付費,共6000元。我剛試了用手機打165居然說是查無此號碼,查帳單也有一筆傳到應該是國外的簡訊。這樣應該是中毒了吧?如果是這樣有解嗎? 我的手機現在該怎麼辦?? 我的手機是S3,麻煩教教我,謝謝

    • 您好,就本文所講的那隻病毒而言,發送簡訊的大都是其他受害者,165自然不會有他們的電話。建議您趕緊跟電信公司聯繫,看費用部分應如何處理,有必要的話就去報案;手機方面,如果知道是哪個APP造成,可以把該APP及其服務移除,不確定的話就回復原廠吧。

  16. 您好,我剛剛有收到這個電話0932336817的簡訊,也是:XX,看著這些照片,好懷念以前的日子喔。然後附上網址 https://media.cechire.com/ 不過我因為是傳統手機,所以將這些網址輸入到電腦中用網頁開啟,但是打不開,這樣應該不會有事吧?

  17. 我收到的是:xx,我前幾天去宜蘭拍了好多照片,都在相簿裏http;//media.cechire.com。電話是0933928521

  18. 您好,
    我不小心點了網址,但是沒有下載安裝apk。可是發現有一些照片不見了。安裝貴公司的防毒軟體未掃的病毒。這有可能是有中毒嗎?感謝!

  19. 您好,10/7我收到簡訊[我的名字],上次同學聚會照片,大家都有來,好熱鬧喔http://photo.merseine.nu
    我點了,要求我安裝,但我沒有安裝;直到10/10我發現大部分照片不見了,之後立刻安裝櫃公司提供的防毒軟體,沒有掃到!!請問我的手機算中毒了嗎??非常感謝

    • Hi Willy0902, 依你的使用情形, 手機照片丟失的問題也許不是病毒造成的, 因為目前收集到的這一類樣本都不會去碰使用者的照片. 你也可以開啟雲端掃描, 看看有沒有其他病毒存在.

  20. 感謝提供的訊息,
    之前收到的是”我們公司烤肉的照片”
    有打開簡訊、回撥發此簡訊的電話(對方是律師事務所)、並無打開網址,
    原本以為這樣沒有問題,
    但剛查了下我的電話已經被獲取了><

    • 您好,AegisLab 手機簡訊病毒個資外洩查詢系統 是供您查詢自己的個資是否外洩!

      查詢到您個資已被獲取是正常的,就是因為您個資已經被駭客所取得,所以您才會收到那些簡訊!
      只要你沒下載安裝該APP就不會受害,您多心了 🙂

      如果還有任何問題,也歡迎您繼續詢問,謝謝!

  21. 剛收簡訊到馬上google收尋,果不期然
    內容如下
    看著這些照片,好懷念以前的日子喔 http;//Media.from-vt.com

  22. 我也是今天收到和樓上ccc依樣的簡訊內容
    手機我沒開啟,但我有用電腦開網址看出現無名相簿
    那這樣我的電腦會有影響嗎?謝謝

    • 您好,用電腦開啟是不會有影響的!
      如果還有任何問題,也歡迎您繼續詢問,謝謝!

  23. 剛才也收到這簡訊
    對方手機號碼為886-921-852-284
    內容是xxx 好懷念我們在一起的那些日子
    還好 有先上網查一查 但還是非常擔心
    謝謝你的分享

  24. 0921921008傳來
    「看著這些照片,好懷念以前的日子喔
    http://photog.homelinux.org」

    不好意思,想請問一下,沒有從簡訊裡點開網址,
    然後用手機裡的google以「phtog homelinux org」字串搜尋

    出現了一個flickr相簿的聯結,http://www.flickr.com/photos/…/2887624956
    想請問一下,點了那個flickr的聯結會中毒嗎,謝謝。

    • 您好,目前這隻病毒只針對Android,iPhone可以放心,不過關閉小額付費真的是正確的決定~

  25. 阿米有一想法,就是””平時先將[未知的來源]關閉””,需要安裝APP時再打開,不知道可以防治嗎?
    懇請解答,謝謝

  26. 我朋友也收到簡訊了~~~~
    不好意思想請問
    會收到這樣的簡訊是個資外流嗎
    會可能是在手機上玩遊戲的關係嗎?

    • 會收到簡訊代表駭客那有你朋友的個資!

      至於駭客如何獲取這麼龐大的個資,我們也還在追查來源中,一有消息就會馬上公布!

    • 是的,駭客手上有你的資料,我們也還在追查來源中,一有消息就會馬上公布!

      提醒您不明連結不要亂點!

      如果還有任何問題,也歡迎您繼續詢問,謝謝!

  27. 您好我的手機廠牌是HTC
    剛剛接到簡訊,電話是 886919753039
    {我的名字},看這些照片,好懷念以前的日子
    http://photov.is-an-anarchist.com
    ㄜ~請問我有點選網址,且也出現要選擇開啟的程式(一個是要我選Android,一個是要我選google的開啟程式)安裝~
    如果我點選了google,我也忘記說我是不是安裝成功的話??
    請問我該怎麼辦呢?需要將手機進行還原設定嗎??
    目前已先關閉小額付費的服務。
    感謝…

    • 您好,請您檢查你的應用程式列表裡,是否有出現下面連結圖裡紅色框框的那個無圖示且名為”Google Play Service”的APP

      https://docs.google.com/file/d/0ByMdfpnb89tqQlIzc1hMRW9Wblk/edit?usp=sharing

      有看到請把這APP移除即可。

      如果有看到某個APP是沒有圖示的,麻煩你把相關資訊給我們做進一步檢查!

       

      您可以與電信公司確認,是否有發送大量簡訊或是不正常的小額付費交易!

      另外,提醒您不明連結不要亂點!

      如果還有任何問題,也歡迎您繼續詢問,謝謝!

  28. 我剛剛也接到了,電話是 +886921919194
    XXX(我的名字),看這些照片,好懷念以前的日子喔
    http://photog.homelinux.org

    還好沒點,直接在電腦上搜尋,就看到這篇救命文….
    已經與電信公司確認,是否有發送大量簡訊或是不正常的小額付費交易,
    目前沒看到異常,電信公司說,有可能是在網購時或加入會員時填入資料被駭=口=

    • 沒錯,不明連結千萬不要亂點 🙂

      另外,如果沒特殊需求,建議您關閉小額付費的服務!

      駭客手頭的個資我們也還在追查來源中,一有消息就會馬上公布!

  29. 剛剛也收到了

    0921973225

    本名,看著這些照片,好懷念以前的日子喔

    http://photo.$&&amp;.bz
    訊息我刪掉了,但記得後面是bz結尾

    還有我點選刪除信件時,不小心就按到連結了
    手機後來顯示photo下載未成功
    這樣有關係嗎

    • 謝謝您的資訊,只要沒有安裝,就不會有立即性的危害,只要留意個資外洩的問題即可。

  30. 您好 我今天17:00收到的簡訊內容和版上的feylha是一樣的
    點選連結但下載失敗,但有回撥電話也有一位女生接聽
    請問這樣有影響嗎??

    • 您好,只要不要安裝就沒有立即性的危害,只要留意個資外洩的問題即可。另外那隻電話應該是另一個受害者的電話,駭客利用她的手機幫忙發送簡訊。