1. 电话诈骗中的半壁江山: 仿冒公检法诈骗

电信诈骗，让人不胜其害、也让人不堪其扰，在受害者中有人倾家荡产，也有人家破人亡。2015年，全国电信诈骗发案59.9万起，被骗走222亿元，这两个数字触目惊心。

而根据腾讯移动安全实验室/反诈骗实验室的数据显示电话诈骗损失中高达57.39%案件都是仿冒公检法诈骗，可以说仿冒公检法类是目前电话诈骗中最大的毒瘤。

2. 仿冒公检法诈骗案情回顾

这个案例中诈骗骗子的诈骗套路分为以下几个步骤：

第一步：骗取信任。骗子通过网络购买的受害者个人信息，例如身份证号、住址等隐私来取得受害者初步信任。

第二步：震慑和恐吓。骗子会通过声色俱厉的语气，强势震慑并控制受害人,骗子为了让受害者彻底相信自己卷入了一个重大案件，随时可能被逮捕。通常会使用PS或者生成器生成通缉令并发给用户。

第三步: 安装恶意应用。骗子通过短信等手段将恶意链接发送给用户并诱导安装,一旦安装以后用户的智能手机会被诈骗者远程控制,诈骗者可以截获网银交易验证码,获取用户地理位置并控制用户的电话功能。

第四步：收集敏感信息。诱骗受害人输入银行卡帐号/密码/支付密码/U盾,身份证等信息发送到诈骗者构造的服务器。

第五步：远程转移资金。通过用户提供的银行卡信息远程进行转账操作,支付验证码则通过控制用户手机来获取,最终实现将用户银行卡中的资金转移。

3. 诈骗者新的利器：仿冒公检法恶意应用

众所周知的是智能移动终端正在改变我们的生活，移动互联网的发展让手机成为日常生活不可或缺的一部分。

使用时长的不断增加使得手机等智能设备上存储着大量敏感的隐私信息, 随着手机功能的增强，同样面临巨大的安全挑战。比如近几年蓬勃发展的手机支付，使得手机成为了一台移动的小金库，人们可以随时随地发起网上支付，正是因为手机新的钱包属性引起犯罪分子的高度重视，如果犯罪分子可以完全控制用户手机(特别是在手机root情况下)，意味着它可以控制更多的用户隐私信息(如 短信内容,通话记录,地理未知等隐私信息)来精确了解用户群体，实施更加精准的攻击。

下面是传播电话诈骗到移动木马诈骗的功能对比，可以看出移动木马诈骗优势明显可能。

3.1 仿冒公检法恶意应用的四大家族

2016年共截获了129个样本，最高ROM外周用户感染量17，这些样本主要分为四个家族，其中家族的占比如下图所示：

3.2 仿冒公检法恶意应用常用软件名分析

从公检法的软件名分析发现，“最高人民检察院”成为仿冒首选软件名。

3.3 仿冒公检法恶意应用的功能对比

通过对家族样本分析发现,窃取受害人手机联系人、短信、通话记录，地理信息以及GPS地理等隐私信息成为标配，部分家族为了实现更多的功能还会增加、手机黑屏以及手机屏幕拍照上传功能，甚至有的家族还是绕过一些模拟器的检测来绕过动态检测。

3.4 仿冒公检法恶意应用的存活周期

通过对仿冒公检法样本存活期分析发现，2014年即有家族开始作案并持续至今，家族的活跃史都超过1年。

3.5 仿冒公检法恶意应用有趣的注释

对家族的研究发现样本占比最高两个家族中均出现繁体的注释内容,联想到新闻”公安部：千万元以上大案基本是台湾诈骗集团实施”,说明仿冒公检法的移动化也是在台湾犯罪团队的”指导”下进行,随之国内部分的诈骗团伙引进”技术”跟进。

• Daming家族（样本数第一位,活跃600天+）

• Cake家族（样本数第二位,活跃500天+）

3.6 仿冒公检法恶意应用的小小对抗

3.6.1 更换域名来躲避URL查杀

3.6.2 通过更换包名,证书来躲避特征查杀

3.6.3 检测模拟器防止被动态系统捕获行为

4. 仿冒公检法恶意应用传播下载信息简析

4.1 仿冒公检法恶意应用下载情况汇总

每个家族看上去都有其偏好，比如下载域名里面apf家族偏好co的域名后缀。

4.2 仿冒公检法恶意应用使用vps情况简析

官网中选择最便宜的一款服务,实际可能会更高。

4.2.1 使用vps情况

4.2.2 VPS找到的一些可能价格

5. 仿冒公检法恶意应用传播以及腾讯安全矩阵、腾讯手机管家

5.1 一个仿冒公检法恶意应用典型案例的溯源

以下为仿冒公检法案例流程图：

为了以假乱真，诈骗犯甚至会伪造一些十分逼真的电子文件，如下图：

为打击仿冒公检法传播，腾讯手机管家也针对仿冒公检法诈骗展开了一系列措施，例如对这一类仿冒公检法病毒进行精准查杀。

5.2 腾讯安全矩阵、腾讯手机管家从传播的三个层次联动打击仿冒公检法传播

为了有效打击仿冒公检法传播，腾讯安全矩阵、腾讯手机管家分别从传播的三个层次进行联动打击。