SMSPVA服务中出现的短信验证漏洞

这类 SMS PVA 服务工程项目容许其顾客建立纸制采用者数据资料或在很多盛行的新浪网网络平台上注册登记数个账号。不法分子可能会误用那些服务工程项目展开诈欺或其它蓄意公益活动。

在往后一年中，手机短信服务工程项目 (SMS) 电话号码校正账号 (PVA) 服务工程项目有所提升。SMS PVA 服务工程项目提供更多可供顾客用作注册登记新浪网服务工程项目和网络平台的代替联系方式。那些类别的服务工程项目能绕开新浪网网络平台和服务工程项目广为用作校正新账号的 SMS 校正监督机制。普通用户能大批量注册登记纸制账号或为犯罪行为建立电话号码校正账号。

接下去，他们对采用smspva[.]net中文网站的SMS PVA提供更多商的调查报告。

SMS PVA 运转民主化

Smspva[.]net 和其它 SMS PVA 服务工程项目具备大致相同的关键性特点：

1.提供更多纸制采用的联系方式，因此能采用很多相同北欧国家的电话号码；

2.网络平台采用者根本无法为服务工程项目电信公司原订义的某一插件允诺文档最新消息，在这类中文网站上记号为工程项目。

3.不提供更多电话号码电话号码的长年承租。

用作优先选择可供 smspva[.]net 采用者采用的 SMS工程项目的输入框

那个某一的 SMS PVA 服务工程项目提供更多商能在相同北欧国家/沿海地区保护很多联系方式。更为重要的是，保护那些位数的生产成本少于了向顾客缴交的服务工程项目费率。所以，此项服务工程项目怎样想尽办法竭尽全力其销售业务营运呢？

用作拦截 SMS 的蓄意 Android 插件

在他们的研究过程中，他们发现有证据表明这种某一 SMS PVA 操作的功能是建立在感染了 SMS 拦截蓄意软件的 Android 手机上的。

他们通过 API URL 和中文网站本身展开了调查，发现 smspva[.]net 的 API 名称和功能是独一无二的，但如下图所示，enjoynut[.]cn 在子域 lm.enjoynut[.]cn 上有一个非常相似的中文网站。

smspva[.]net（左）与 lm.enjoynut[.]cn（右）的屏幕截图

Smspva[.]net 和 sm.enjoynut[.]cn 具备相同的登录页面和相同的徽标，以及相同的 API 文档。在比较两个域之间的采用者流量后，他们观察到 smspva[.]net 接收到的流量要多得多。因此，他们认为 enjoynut[.]cn 被用作测试服务工程项目器，而 smspva[.]net 是生产服务工程项目器。

enjoynut[.]cn 连接是一个重要的支点，因为该域被数个 Android 蓄意软件变体采用。

采用速度-时间 (VT) 图表透视工件

DEX 文件是一个带有 sha1 e83ec56dfb094fb87b57b67449d23a18208d3091 的文件，他们将其检测为 AndroidOS_Guerilla 蓄意软件的变体。那个某一的 DEX 文件采用 cardking.ejoynut[.]cn 作为调试命令和控制 (C&C)，并采用 sublemontree[.]com 作为C&C的结果，如下图所示。

Cardking.enjoynut[.]cn用来调试 C&C 以及 sublemontree[.]com 被用来制作 C&C

该DEX文件用作拦截受影响的Android手机收到的手机短信，并根据C&C接收到的正则表达式(regex)规则展开检查，然后将匹配正则表达式的手机短信发送给C&C。

拦截传入 SMS 的代码

通过WebSocket从服务工程项目器接收正则表达式的代码

用作发送与所提供更多的正则表达式匹配的文档最新消息的代码

采用那些代码片段和 C&C 流量作为依据，他们能识别出另外两个具备相同功能但 C&C 相同的 DEX 文件，这表明 Android 蓄意软件的开发代码和生产代码处于活跃的开发过程以及数个版本。

只有某一服务工程项目发送的文档最新消息，并与C&C提供更多的正则表达式匹配，才会被拦截。这可能会阻止 Android 手机的采用者发现蓄意公益活动。该蓄意软件保持低调，仅收集与允诺的插件匹配的文档最新消息，以便它能秘密地长时间竭尽全力此公益活动。如果 SMS PVA 服务工程项目容许其顾客访问受感染手机上的所有最新消息，所以采用者将很快注意到那个问题。

SMS PVA 服务工程项目还控制顾客能接收文档最新消息的网络平台类别（如图 1 所示），这意味着该服务工程项目背后的电信公司能确保受感染的手机上不会发生明显的蓄意公益活动。例如，如果该服务工程项目容许银行插件的双因素身份校正 (2FA) 被盗，所以真实采用者将收到警报并采取行动，这将导致 SMS PVA 服务工程项目失去其资产。

采用住宅代理

住宅代理也充当计算机和服务工程项目器目的地之间的中介。但中间人不是数据中心的专用服务工程项目器，这就是互联网采用者提供更多的住宅DSL或电缆。

新浪网网络平台和服务工程项目通常通过在注册登记期间校正采用者的位置来校正新账号。例如，可能需要一个 IP 地址来匹配用作账号的电话号码电话号码的地理位置。

为了避免这种情况，SMS PVA 采用者采用第三方 IP 掩码服务工程项目，例如代理或虚拟专用网络 (VPN)，来更改他们尝试连接到所需服务工程项目时将记录的 IP 地址。采用 Trend Micro™ Smart Protection Network™ (SPN) 检测，他们发现 SMS PVA 服务工程项目的采用者广为采用各种代理服务工程项目和分布式 VPN 网络平台来绕开 IP 地理位置校正检查。

采用者注册登记允诺和SMS PVA API允诺通常来自VPN服务工程项目或住宅代理系统的出口节点。这意味着SMS PVA服务工程项目的采用者通常将其与某种住宅代理或VPN服务工程项目结合采用，容许他们优先选择IP出口节点的北欧国家，以匹配用作注册登记服务工程项目的电话号码电话号码。

SMS PVA服务工程项目的安全影响及其对手机短信校正的影响

手机短信校正已成为很多新浪网网络平台和插件的默认身份校正方式。很多 IT 部门将 SMS 校正视为采用者账号的安全黑盒校正工具。然而，目前，新浪网服务工程项目和网络平台应该警惕过度依赖手机短信校正。那些 SMS PVA 服务工程项目证明网络不法分子确实能大规模破坏 SMS 校正。这也意味着网络平台上可能存在经过身份校正和校正的账号，其行为类似于木马、钓鱼攻击或诈欺性账号。

这类网络平台上的真实采用者行为能被具备 SMS PVA 账号的普通用户操纵。这意味着网络平台可能会因诈骗和诈欺而增加生产成本。网络平台甚至可能（直接或间接）涉及人身伤害或财产损失。

根据之前对虚假账户的采用，他们能预测普通用户将怎样在他们的诈骗和犯罪行为中采用那些服务工程项目。

匿名工具

网络不法分子在很多相同的公益活动中多次采用了纸制电话号码，因为他们能注册登记账户而不用担心被追踪。此外，由于他们采用的受感染的联系方式与真实的人联系在一起，执法部门对他们的账户的调查将追踪到另一个人。

他们看到了一个与先买后付计划相关的误用示例。在此示例中，几个蓄意软件样本采用 SMS PVA 服务工程项目获取电话号码电话号码并将那些电话号码与现有的新浪网支付服务工程项目账号相关联。之后，普通用户尝试从新浪网购物中文网站展开购买交易。尽管他们只确定了此类公益活动的少数样本，但他们相信，当自动化时，那些账户能被广为用作展开非法购买或洗钱公益活动。

那些服务工程项目还可用作避免对商业网络平台上的损害或非法公益活动承担责任。2022年，俄罗斯一家汽车共享服务工程项目公司指控一名男子卷入一场车祸。然而，据透露，该共享汽车服务工程项目的账号是一个诈骗账号，采用被告的姓名和纸制SIM卡展开校正。

以真实的行为协调

以真实的行为协调通常用作在社交网络中传播和放大信息（通常是错误信息）。这能采用 SMS PVA 服务工程项目以必要的速度和精度大规模、快速地完成。大型公益活动可用作操纵公众对品牌、服务工程项目、政治观点或政府计划（如疫苗接种运动）的看法。假新闻的组织者甚至能采用 SMS PVA 服务工程项目来建立新浪网攻击公益活动。

一些 SMS PVA 服务工程项目在相同北欧国家/沿海地区拥有数千部受感染的智能手机，该服务工程项目能容许顾客在那些服务工程项目背后的普通用户所针对的某一北欧国家大批量注册登记社交媒体账户。

误用登录奖金

采用 SMS PVA 服务工程项目也能误用登录奖金（通常在注册登记新账号时提供更多）。例如，在东欧、非洲和西亚盛行的叫车服务工程项目 Bolt 通过为每个新账户赠送免费乘车积分来激励新的登录。一些 SMS PVA 服务工程项目意识到这是一种潜在的获利计划，甚至宣传无限打折的 Bolt 乘车来说服人们采用 SMS PVA 服务工程项目。

总结

核心安全问题是，企业有能力监控和拦截来自世界各地数以万计设备的手机短信，然后通过向任何有能力付费的人提供更多服务工程项目，从这种拦截中获利。另一个令人毛骨悚然的想法是，C&C 提供更多的可定制的正则表达式模式意味着手机短信拦截能力不仅限于校正码。它还能扩展到收集纸制密码(OTP)令牌，甚至被专制政权用作监控工具。

SMS PVA 服务工程项目营运不仅显示了纸制手机短信校正作为主要校正手段的安全漏洞和不足，也凸显了对更好的移动安全性和隐私性的需求。感染那些手机的蓄意软件可能会被采用者无意中下载，或者可能意味着供应链安全存在安全漏洞。

参考及来源：https://www.trendmicro.com/en_us/research/22/b/sms-pva-services-use-of-infected-android-phones-reveals-flaws-in-sms-verification.html

这类 SMS PVA 服务工程项目容许其顾客建立纸制采用者数据资料或在很多盛行的新浪网网络平台上注册登记数个账号。不法分子可能会误用那些服务工程项目展开诈欺或其它蓄意公益活动。在往后一年中，手机短信服务工程项目 (SMS) 电话号码校正账号 (PVA) 服务工程项目有所提升。SMS PVA 服务工程项目提供更多可供顾客用作注册登记新浪网服务工程项目和网络平台的代替联系方式。那些类别的服务工程项目能绕开新浪网网络平台和服务工程项目广为用作校正新账号的 SMS 校正监督机制。普通用户能大批量注册登记纸制账号或为犯罪行为建立电话号码校正账号。接下去，他们对采用smspva[.]net中文网站的SMS PVA提供更多商的调查报告。

SMS PVA 运转民主化Smspva[.]net 和其它 SMS PVA 服务工程项目具备大致相同的关键性特点：1.提供更多纸制采用的联系方式，因此能采用很多相同北欧国家的电话号码；2.网络平台采用者根本无法为服务工程项目电信公司原订义的某一插件允诺文档最新消息，在这类中文网站上记号为工程项目。3.不提供更多电话号码电话号码的长年承租。

用作优先选择可供 smspva[.]net 采用者采用的 SMS工程项目的输入框那个某一的 SMS PVA 服务工程项目提供更多商能在相同北欧国家/沿海地区保护很多联系方式。更为重要的是，保护那些位数的生产成本少于了向顾客缴交的服务工程项目费率。所以，此项服务工程项目怎样想尽办法竭尽全力其销售业务营运呢？

用作拦截 SMS 的蓄意 Android 插件在他们的研究过程中，他们发现有证据表明这种某一 SMS PVA 操作的功能是建立在感染了 SMS 拦截蓄意软件的 Android 手机上的。他们通过 API URL 和中文网站本身展开了调查，发现 smspva[.]net 的 API 名称和功能是独一无二的，但如下图所示，enjoynut[.]cn 在子域 lm.enjoynut[.]cn 上有一个非常相似的中文网站。

smspva[.]net（左）与 lm.enjoynut[.]cn（右）的屏幕截图Smspva[.]net 和 sm.enjoynut[.]cn 具备相同的登录页面和相同的徽标，以及相同的 API 文档。在比较两个域之间的采用者流量后，他们观察到 smspva[.]net 接收到的流量要多得多。因此，他们认为 enjoynut[.]cn 被用作测试服务工程项目器，而 smspva[.]net 是生产服务工程项目器。enjoynut[.]cn 连接是一个重要的支点，因为该域被数个 Android 蓄意软件变体采用。

采用速度-时间 (VT) 图表透视工件DEX 文件是一个带有 sha1 e83ec56dfb094fb87b57b67449d23a18208d3091 的文件，他们将其检测为 AndroidOS_Guerilla 蓄意软件的变体。那个某一的 DEX 文件采用 cardking.ejoynut[.]cn 作为调试命令和控制 (C&C)，并采用 sublemontree[.]com 作为C&C的结果，如下图所示。

Cardking.enjoynut[.]cn用来调试 C&C 以及 sublemontree[.]com 被用来制作 C&C该DEX文件用作拦截受影响的Android手机收到的手机短信，并根据C&C接收到的正则表达式(regex)规则展开检查，然后将匹配正则表达式的手机短信发送给C&C。

拦截传入 SMS 的代码

通过WebSocket从服务工程项目器接收正则表达式的代码

用作发送与所提供更多的正则表达式匹配的文档最新消息的代码采用那些代码片段和 C&C 流量作为依据，他们能识别出另外两个具备相同功能但 C&C 相同的 DEX 文件，这表明 Android 蓄意软件的开发代码和生产代码处于活跃的开发过程以及数个版本。只有某一服务工程项目发送的文档最新消息，并与C&C提供更多的正则表达式匹配，才会被拦截。这可能会阻止 Android 手机的采用者发现蓄意公益活动。该蓄意软件保持低调，仅收集与允诺的插件匹配的文档最新消息，以便它能秘密地长时间竭尽全力此公益活动。如果 SMS PVA 服务工程项目容许其顾客访问受感染手机上的所有最新消息，所以采用者将很快注意到那个问题。SMS PVA 服务工程项目还控制顾客能接收文档最新消息的网络平台类别（如图 1 所示），这意味着该服务工程项目背后的电信公司能确保受感染的手机上不会发生明显的蓄意公益活动。例如，如果该服务工程项目容许银行插件的双因素身份校正 (2FA) 被盗，所以真实采用者将收到警报并采取行动，这将导致 SMS PVA 服务工程项目失去其资产。

采用住宅代理住宅代理也充当计算机和服务工程项目器目的地之间的中介。但中间人不是数据中心的专用服务工程项目器，这就是互联网采用者提供更多的住宅DSL或电缆。新浪网网络平台和服务工程项目通常通过在注册登记期间校正采用者的位置来校正新账号。例如，可能需要一个 IP 地址来匹配用作账号的电话号码电话号码的地理位置。为了避免这种情况，SMS PVA 采用者采用第三方 IP 掩码服务工程项目，例如代理或虚拟专用网络 (VPN)，来更改他们尝试连接到所需服务工程项目时将记录的 IP 地址。采用 Trend Micro™ Smart Protection Network™ (SPN) 检测，他们发现 SMS PVA 服务工程项目的采用者广为采用各种代理服务工程项目和分布式 VPN 网络平台来绕开 IP 地理位置校正检查。采用者注册登记允诺和SMS PVA API允诺通常来自VPN服务工程项目或住宅代理系统的出口节点。这意味着SMS PVA服务工程项目的采用者通常将其与某种住宅代理或VPN服务工程项目结合采用，容许他们优先选择IP出口节点的北欧国家，以匹配用作注册登记服务工程项目的电话号码电话号码。

SMS PVA服务工程项目的安全影响及其对手机短信校正的影响手机短信校正已成为很多新浪网网络平台和插件的默认身份校正方式。很多 IT 部门将 SMS 校正视为采用者账号的安全黑盒校正工具。然而，目前，新浪网服务工程项目和网络平台应该警惕过度依赖手机短信校正。那些 SMS PVA 服务工程项目证明网络不法分子确实能大规模破坏 SMS 校正。这也意味着网络平台上可能存在经过身份校正和校正的账号，其行为类似于木马、钓鱼攻击或诈欺性账号。这类网络平台上的真实采用者行为能被具备 SMS PVA 账号的普通用户操纵。这意味着网络平台可能会因诈骗和诈欺而增加生产成本。网络平台甚至可能（直接或间接）涉及人身伤害或财产损失。根据之前对虚假账户的采用，他们能预测普通用户将怎样在他们的诈骗和犯罪行为中采用那些服务工程项目。

匿名工具网络不法分子在很多相同的公益活动中多次采用了纸制电话号码，因为他们能注册登记账户而不用担心被追踪。此外，由于他们采用的受感染的联系方式与真实的人联系在一起，执法部门对他们的账户的调查将追踪到另一个人。他们看到了一个与先买后付计划相关的误用示例。在此示例中，几个蓄意软件样本采用 SMS PVA 服务工程项目获取电话号码电话号码并将那些电话号码与现有的新浪网支付服务工程项目账号相关联。之后，普通用户尝试从新浪网购物中文网站展开购买交易。尽管他们只确定了此类公益活动的少数样本，但他们相信，当自动化时，那些账户能被广为用作展开非法购买或洗钱公益活动。那些服务工程项目还可用作避免对商业网络平台上的损害或非法公益活动承担责任。2022年，俄罗斯一家汽车共享服务工程项目公司指控一名男子卷入一场车祸。然而，据透露，该共享汽车服务工程项目的账号是一个诈骗账号，采用被告的姓名和纸制SIM卡展开校正。

以真实的行为协调以真实的行为协调通常用作在社交网络中传播和放大信息（通常是错误信息）。这能采用 SMS PVA 服务工程项目以必要的速度和精度大规模、快速地完成。大型公益活动可用作操纵公众对品牌、服务工程项目、政治观点或政府计划（如疫苗接种运动）的看法。假新闻的组织者甚至能采用 SMS PVA 服务工程项目来建立新浪网攻击公益活动。一些 SMS PVA 服务工程项目在相同北欧国家/沿海地区拥有数千部受感染的智能手机，该服务工程项目能容许顾客在那些服务工程项目背后的普通用户所针对的某一北欧国家大批量注册登记社交媒体账户。

误用登录奖金采用 SMS PVA 服务工程项目也能误用登录奖金（通常在注册登记新账号时提供更多）。例如，在东欧、非洲和西亚盛行的叫车服务工程项目 Bolt 通过为每个新账户赠送免费乘车积分来激励新的登录。一些 SMS PVA 服务工程项目意识到这是一种潜在的获利计划，甚至宣传无限打折的 Bolt 乘车来说服人们采用 SMS PVA 服务工程项目。

总结核心安全问题是，企业有能力监控和拦截来自世界各地数以万计设备的手机短信，然后通过向任何有能力付费的人提供更多服务工程项目，从这种拦截中获利。另一个令人毛骨悚然的想法是，C&C 提供更多的可定制的正则表达式模式意味着手机短信拦截能力不仅限于校正码。它还能扩展到收集纸制密码(OTP)令牌，甚至被专制政权用作监控工具。SMS PVA 服务工程项目营运不仅显示了纸制手机短信校正作为主要校正手段的安全漏洞和不足，也凸显了对更好的移动安全性和隐私性的需求。感染那些手机的蓄意软件可能会被采用者无意中下载，或者可能意味着供应链安全存在安全漏洞。参考及来源：https://www.trendmicro.com/en_us/research/22/b/sms-pva-services-use-of-infected-android-phones-reveals-flaws-in-sms-verification.htmlvar uid="111";

相关推荐