阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 10028阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 cYp]zn+6  
8;]U:tv  
&7t3D?K'qX  

D>Dch0{H,:  
背景 VKp4FiI6  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 8DP] C9  
x*uQBNf=  
WfE,U=e*  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ril4*$e7^\  
!r*Ogv[  
vEIDf{  
木马运行流程如下: INj2B@_  
&c)n\x*  
qkN{l88  
c31k%/.  
P Yp<eo\  
是否触发恶意代码 2pEr s|r  
CPCjY|w7   
HqpwQ  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
{m/h3hjFa  
qZ6Mk9@M  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 *u4h+P  
QK3j.Ss  
.Bu?=+O~  
Hki  
核心服务 fYuz39#*  
HTz&h#)JQ  
CHqRCQR.  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
:NJ(QkTZv  
,dM}B-  
t_PAXj  
下图上传木马运行环境
CfoT$g  
上传设备状态
Qyr^\a;k'  
Rs0O4.yi;@  
CE19V:zp  
上传已安装银行app
k%5 o5Hx  
i,DnXgmz@  
G:HPd.ay  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| 8R;)WlLu=  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 fP>*EDn@xg  
?n 9<PMo  
4PwjG;!K  
随后C&C端返回控制指令,指令解析如下。
1/O7K R`K  
HD1+0<  
06FBI?;|=  
2cy: l03  
l0^~0xlED  
劫持分析 FOAy'76p  
p<w2e  
bn b:4?d]  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 Lc<v4Bp  
&\Es\qVSf  
gZI88Q  
LZirw'  
vR X_}`m8#  
另外的一些钓鱼界面。
<<,YgRl2  
i/j DwA  
Dp)5u@I  
/0PBY-O  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: T) ZO+}  
at.bawag.mbanking To_Y 8 G  
at.easybank.mbanking r &<sSE;5  
at.spardat.netbanking Vz(O=w=  
at.volksbank.volksbankmobile IkzY   
com.rbs.mobile.android.rbs z+RA  
com.isis_papyrus.raiffeisen_pay_eyewdg Y7TW_[_u  
n]?KDID;  
&LRO^[d  
au.com.bankwest.mobile f@3?kM(  
au.com.ingdirect.android ;7jszs.6%  
au.com.nab.mobile IY Ilab\TZ  
com.commbank.netbank  /i'dhiG  
org.banksa.bank 8F?6Aq1B  
org.stgeorge.bank ;L <D-=  
org.westpac.bank UcZ20inj0  
2U;6sn*e  
=l7@YCj5c  
com.db.mm.deutschebank |@6t"P]@  
com.barclays.android.barclaysmobilebanking l70a&[W  
com.starfinanz.mobile.android.dkbpushtan M0+xl+c+  
com.starfinanz.smob.android.sbanking g4Y1*`}2f  
com.starfinanz.smob.android.sfinanzstatus Oz3JMZe  
de.adesso.mobile.android.gad >(>,*zP<9  
de.comdirect.android #qx$ p  
de.commerzbanking.mobil .uo9VL<  
de.consorsbank 7gX#^YkE+k  
de.dkb.portalapp Pdq}~um3{  
de.fiducia.smartphone.android.banking.vr zv~dW4'  
de.ing_diba.kontostand 0j}!4D+  
de.postbank.finanzassistent E79'<;K,zs  
mobile.santander.de SauX C  
aR- ?t14  
GkOZ =ej  
com.IngDirectAndroid xaPaK-  
com.arkea.android.application.cmb $(3mpQAg  
com.arkea.android.application.cmso2 Xr B)[kQ  
com.boursorama.android.clients r]sN I[  
com.cacf.MonCACF 4l2/eh]Hc(  
com.caisseepargne.android.mobilebanking CyR1.|!@  
com.cic_prod.bad F,[GdE;P  
com.cm_prod.bad W(gOid KKz  
com.fullsix.android.labanquepostale.accountaccess AmyZ9r#{  
com.groupama.toujoursla 3xhGmD\SKO  
com.lbp.peps bR\Oyd~e  
com.macif.mobile.application.android [3@Pu.-I+M  
com.ocito.cdn.activity.creditdunord y-.<iq  
fr.axa.monaxa k_o$ Ci  
fr.banquepopulaire.cyberplus EE{]EW(  
fr.banquepopulaire.cyberplus.pro fk6`DUBV  
fr.creditagricole.androidapp A$7j B4  
fr.lcl.android.customerarea H Q_IQ+  
fr.lemonway.groupama <n;9IU  
mobi.societegenerale.mobile.lappli ehpU`vQz  
net.bnpparibas.mescomptes '{ $7Dbo  
f>!H<4 ]  
Sc.@u3  
com.comarch.mobile at )m*  
com.getingroup.mobilebanking >WcOY7  
com.konylabs.cbplpat j*6>{_[  
eu.eleader.mobilebanking.pekao P9W!xvV`w  
eu.eleader.mobilebanking.raiffeisen 4#Bzq3,|  
pl.bzwbk.bzwbk24 ja-,6*"k  
pl.bzwbk.mobile.tab.bzwbk24 Qq|c%FZ  
pl.eurobank 75"&"*R/*G  
pl.ing.ingmobile  >7$h  
pl.mbank  d5YL=o  
pl.pkobp.iko gj@>9  
wit.android.bcpBankingApp.millenniumPL .',d*H))E7  
2Kmnt(>  
6N#0D2~^  
com.akbank.android.apps.akbank_direkt %_L~"E 2e  
com.finansbank.mobile.cepsube n w  
com.garanti.cepsubesi !q[r_wL  
com.pozitron.iscep Jwtt&" c0.  
com.tmobtech.halkbank "Q.KBX v/  
com.vakifbank.mobile "<$JU@P  
com.ykb.android }? :T*CJ  
com.ziraat.ziraatmobil T!2gOe  
wlEmy.)H  
V2B: DIpr  
ca.bnc.android [NU@A>H  
com.americanexpress.android.acctsvcs.us l|S_10x5  
com.chase.sig.android 5@nv cCp  
com.cibc.android.mobi ,R7RXpP7t  
com.citi.citimobile \GdsQAF"  
com.clairmail.fth K9_@[}Ge  
com.coinbase.android WxJV zHtR  
com.creditkarma.mobile vduh5.  
com.discoverfinancial.mobile qM(@wFg  
com.fi9228.godough C5^9D  
com.firstpremier.mypremiercreditcard 1#lH5|XQ  
com.infonow.bofa bcUa'ZfN<  
com.jpm.sig.android fU>4Ip1?y/  
com.moneybookers.skrillpayments G7YBo4v  
com.paybybank.westernunion /_V4gwb}|-  
com.paypal.android.p2pmobile r:Ok z  
com.pnc.ecommerce.mobile V`_)H  
com.suntrust.mobilebanking 3Lm7{s?=Z-  
com.tdbank z]R% A:6K  
com.td [u;>b?[{  
com.transferwise.android iHk/#a  
com.unionbank.ecommerce.mobile.android ?#|in}  
com.usaa.mobile.android.usaa Ih%LKFT  
com.usb.cps.axol.usbc 8S@"6TG`  
com.wf.wellsfargomobile Tilw.z  
me.doubledutch.rbccapitalmarkets T5+ (Fz  
y:VY8a 4  
dG%{&W9  
劫持sdk<=22设备
w^)_Fk3  
-"x25~k!?F  
DxzNg_E]  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
hOr4C4  
获取sdk>22顶层包名
2T-3rC)  
znNv;-q  
SVi{B*  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
8RJa;JsH  
?#J;\^  
RO.bh#A$  
t ybM3VA  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
PaBqv]  
钓鱼界面
Rqun}v}  
FfibR\dhY  
提交用户输入
Z]k+dJ[-  
&` weW  
5`f\[oA  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
E>NL/[1d  
"xE;IpO[  
-"w&g0Z  
~.TKzh'eB  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 S3Sn_zqG  
c7/fQc)h4d  
r]O8|#P,Z$  
安全建议 br7_P1ep  
gpe-)hD@R  
o,DI7sb  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 E@S5|CM  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 :t6.J  
9|&%"~6'  
o3xfif  
------------------------------------------------------------------- a3(q;^v  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 34 - 21 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)