摘要:就在近期�,阿里聚安全檢測(cè)到大量新型家族木馬,木馬偽裝成等應(yīng)用����,可劫持全球至少家大型銀行手機(jī)用戶(hù)。如果不確定手機(jī)是否毒�,可以安裝阿里錢(qián)盾等手機(jī)安全軟件�����,對(duì)手機(jī)上的應(yīng)用進(jìn)行檢測(cè)���,防止高風(fēng)險(xiǎn)惡意應(yīng)用的安裝�。
背景
來(lái)自安全公司Dr.Web的研究人員說(shuō)���,最近一個(gè)未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露�����。就在近期,阿里聚安全檢測(cè)到大量新型BankBot家族木馬��,木馬偽裝成Good Weather�、Flash Plаyеr、Play Мa(chǎn)pкeт��、follon.weather等應(yīng)用����,可劫持全球至少50家大型銀行手機(jī)用戶(hù)�。
特點(diǎn):新型BankBot木馬配置靈活��,執(zhí)行開(kāi)關(guān)受服務(wù)端控制;根據(jù)C&C端下發(fā)的指令進(jìn)行遠(yuǎn)程控制�����;竊取用戶(hù)隱私���,對(duì)全球多家金融類(lèi)app劫持,釣魚(yú)登錄界面���,進(jìn)而截獲、捕捉用戶(hù)輸入數(shù)據(jù)����,最終非法入侵用戶(hù)互聯(lián)網(wǎng)賬戶(hù)系統(tǒng)�����。
木馬運(yùn)行流程如下:
是否觸發(fā)惡意代碼
BankBot木馬啟動(dòng)后會(huì)請(qǐng)求C&C端,判斷是否執(zhí)行惡意代碼�,若服務(wù)端返回非“0”則執(zhí)行惡意代碼���。
該木馬直接隱藏圖標(biāo)����,并啟動(dòng)核心服務(wù)ge45g45gsdfsadfg����,該服務(wù)使用CUP喚醒鎖可常駐后臺(tái)��。
核心服務(wù)
控制電源狀態(tài)為PARTIAL_WAKE_LOCK模式和使用CPU時(shí)鐘鎖��,使核心服務(wù)常駐后臺(tái)��。惡意行為如下:
強(qiáng)制激活設(shè)備管理;
上傳當(dāng)前木馬運(yùn)行環(huán)境����,包括:設(shè)備基本信息��、是否管理激活���、是否存在鎖屏密碼����、是否短信攔截���,用戶(hù)安裝的銀行類(lèi)app名��;
服務(wù)端下發(fā)指令實(shí)施遠(yuǎn)程控制����;
啟動(dòng)劫持服務(wù)
下圖上傳木馬運(yùn)行環(huán)境
↑ 上傳設(shè)備狀態(tài)
↑ 上傳已安裝銀行app
上傳數(shù)據(jù)由自身加密算法編碼,解密結(jié)果:3592500503912**:1:1:0��、3592500503912**:(中國(guó)聯(lián)通)+86186670157**:4.4.2|AlfaB_RU|
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數(shù)據(jù)告訴控制端當(dāng)前設(shè)備ID��、木馬已拿到管理激活���、設(shè)備存在鎖屏密碼�����、還未配置短信攔截、用戶(hù)已安裝AlfaB��、paypal�����、UBank銀行app�����。
隨后C&C端返回控制指令�����,指令解析如下。
劫持分析
當(dāng)受害人打開(kāi)合法銀行app時(shí)����,該木馬監(jiān)控到此行為,加載偽裝的銀行頁(yè)面 ,并覆蓋真實(shí)銀行app界面����。對(duì)于界面劫持攻擊,最重要的一步就是誘騙受害者進(jìn)入他們偽造的登錄界面��,因此���,假冒的銀行登錄窗口得與原生窗口非常相似�,讓用戶(hù)很難區(qū)分真?zhèn)巍?/p>
另外的一些釣魚(yú)界面����。
受害者的設(shè)備ID是與木馬控制端交互的標(biāo)示號(hào),并根據(jù)受害人設(shè)備上的銀行app在控制端準(zhǔn)備偽造的登錄界面�。全世界各大金融app都無(wú)幸免,包括知名的Paypal����、American Express�����、英國(guó)巴克萊銀行���、蘇格蘭皇家銀行等:
at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg
au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank
com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de
com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes
com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil
ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets
↑ 劫持sdk<=22設(shè)備
下圖通過(guò)讀取android系統(tǒng)下proc文件夾的相關(guān)信息,獲取sdk>22 設(shè)備的頂層應(yīng)用包名����。
↑ 獲取sdk>22頂層包名
如果當(dāng)前運(yùn)行應(yīng)用與待劫持的銀行應(yīng)用匹配,惡意代碼將聯(lián)系C&C服務(wù)端來(lái)返回仿冒的銀行登錄界面����,并利用webview加載。如打開(kāi)銀行應(yīng)用com.garenti.cepsubesi���,木馬會(huì)發(fā)出packageName+deviceId的請(qǐng)求來(lái)接受釣魚(yú)頁(yè)面。此惡意軟件釣魚(yú)頁(yè)面都以HTML來(lái)布局��,可推測(cè)該黑產(chǎn)由網(wǎng)站釣魚(yú)轉(zhuǎn)型移動(dòng)app劫持釣魚(yú)�����。
分析發(fā)現(xiàn)在釣魚(yú)頁(yè)面內(nèi)插入了一段js,可將用戶(hù)輸入的銀行賬號(hào)密碼發(fā)送到服務(wù)端���。
↑ 釣魚(yú)界面
↑ 提交用戶(hù)輸入
該木馬通過(guò)遠(yuǎn)程指令可打開(kāi)短信攔截開(kāi)關(guān)���,截取銀行發(fā)送的認(rèn)證短信,并從短信箱刪除銀行消息�����。
攻擊者順利截獲受害者銀行賬號(hào)�、密碼、校驗(yàn)短信�����,成功繞過(guò)雙因素認(rèn)證����,這樣受害者不僅僅構(gòu)造成了一個(gè)可以被攻擊者控制的移動(dòng)僵尸網(wǎng)絡(luò),更成了攻擊者的天然提款機(jī)����,如同自己私人銀行一般。
安全建議
用戶(hù)下載應(yīng)用請(qǐng)到官方網(wǎng)站或安全應(yīng)用市場(chǎng)���,切勿點(diǎn)擊任何色情鏈接��,尤其是短信����、QQ、微信等聊天工具中不熟識(shí)的“朋友”發(fā)來(lái)的鏈接���。
如果不確定手機(jī)是否毒����,可以安裝阿里錢(qián)盾等手機(jī)安全軟件�����,對(duì)手機(jī)上的應(yīng)用進(jìn)行檢測(cè)��,防止高風(fēng)險(xiǎn)惡意應(yīng)用的安裝��。
作者:逆巴@阿里聚安全
更多阿里安全類(lèi)技術(shù)文章�,請(qǐng)?jiān)L問(wèn)阿里聚安全官方博客
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11220.html
