阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9642阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 F/df!I~  
C33RXt$X  
0!1cHB/c  

CraD  
背景 x!?$y_t  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 Y1{*AV6ev6  
4L&Rs;  
O[9A}g2~  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 [*Vo`WgbD  
3rx 8"  
TM,Fab &  
木马运行流程如下: 4Jw_gOY&D  
Dq*O8*#*  
!L@a;L  
N[xa=  
kY~o3p<  
是否触发恶意代码 Mqmy*m[U  
)Tf,G[z&ge  
2nB{oF-Z  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
z?C& ,mv  
IoHYY:[-  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 |6Qn/N$+f  
h09fU5l  
*<ww~^a  
0G #s/u#  
核心服务 C\1x3  
@kB^~Wf  
DG 6W ^  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
T^ RYN  
GFYHt!&[\  
_4X3g%nXl  
下图上传木马运行环境
E:$r" oS  
上传设备状态
aHSl_[  
7DW HADr  
::p(ViYG  
上传已安装银行app
Q=F4ZrNqD  
f9?f!k  
m4'x>Z  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| jmn<gJ2Of  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 C{FE*@U.  
-zH` 9>J5|  
Cg];UB}k  
随后C&C端返回控制指令,指令解析如下。
vptBDfzz  
}/.GB5Ej  
:lp V  
1\%2@NR  
2D ' $  
劫持分析 {7LNQGiJ  
DY8w\1g"  
# 4;(^`?  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 ^;.&=3N,+  
1t<  nm)  
;.&k zzvJ  
`z?h=&N  
TX$4x~:  
另外的一些钓鱼界面。
-=a,FDeR  
+L|-W9"@3  
tY!GJusd  
9?4:},FRmE  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: +`l)W`zX  
at.bawag.mbanking V D.T=(  
at.easybank.mbanking @XN|R  
at.spardat.netbanking P8n |MN  
at.volksbank.volksbankmobile -~WDv[ [  
com.rbs.mobile.android.rbs LV`tnt's  
com.isis_papyrus.raiffeisen_pay_eyewdg u/(~ew I  
/DoSU>%hK  
4-JyK%m,0  
au.com.bankwest.mobile {&0u:  
au.com.ingdirect.android Q ?R3aJ  
au.com.nab.mobile pMLTXqL  
com.commbank.netbank tM3Q;8gB!  
org.banksa.bank 2OsS+6,[x  
org.stgeorge.bank IT:8k5(L5j  
org.westpac.bank BL1d= %2 R  
:fA|J!^b[  
4{CeV7  
com.db.mm.deutschebank !YENJJ  
com.barclays.android.barclaysmobilebanking x|GkXD3  
com.starfinanz.mobile.android.dkbpushtan uG=~k O  
com.starfinanz.smob.android.sbanking 1Ms_2  
com.starfinanz.smob.android.sfinanzstatus |}isSCt  
de.adesso.mobile.android.gad i>%A0.9  
de.comdirect.android L-1#n  
de.commerzbanking.mobil rBZ0Fx$/[  
de.consorsbank #R*7y%cO  
de.dkb.portalapp !v<` ^`x9I  
de.fiducia.smartphone.android.banking.vr =[nuesP'  
de.ing_diba.kontostand ^5rB/y,  
de.postbank.finanzassistent C_S2a 0?  
mobile.santander.de \Sv8c}8  
dQ=L<{(  
V)A7q9Bum  
com.IngDirectAndroid q0L\{  
com.arkea.android.application.cmb uP$C2glyz  
com.arkea.android.application.cmso2 tP4z#0r2  
com.boursorama.android.clients 1'f&  
com.cacf.MonCACF rUh2[z8:  
com.caisseepargne.android.mobilebanking r7-H`%.  
com.cic_prod.bad y 'Ah*h  
com.cm_prod.bad jx14/E+^  
com.fullsix.android.labanquepostale.accountaccess ~- eB  
com.groupama.toujoursla [C{oj*"c]  
com.lbp.peps F+)g!NQZ  
com.macif.mobile.application.android [xo-ZDIoG  
com.ocito.cdn.activity.creditdunord oc;4;A-;`c  
fr.axa.monaxa 6'Q*SO;1gh  
fr.banquepopulaire.cyberplus Vp&"[rC_z  
fr.banquepopulaire.cyberplus.pro Cs2kbG_  
fr.creditagricole.androidapp rlY n"3%  
fr.lcl.android.customerarea eh}|Wd7J  
fr.lemonway.groupama lJdrrR)wg  
mobi.societegenerale.mobile.lappli .f&Z+MQ  
net.bnpparibas.mescomptes `6<Qb=  
<l5s[  
UJ><B"  
com.comarch.mobile %E[ $np>  
com.getingroup.mobilebanking SB,#y>Zv?  
com.konylabs.cbplpat AjJ/t4<  
eu.eleader.mobilebanking.pekao )j!%`g  
eu.eleader.mobilebanking.raiffeisen VFq7nV/O  
pl.bzwbk.bzwbk24 )JY#8,{w  
pl.bzwbk.mobile.tab.bzwbk24 dF7`V J2  
pl.eurobank 08/Tk+  
pl.ing.ingmobile Q5]rc`} 5  
pl.mbank 5xQ5)B4k  
pl.pkobp.iko .E;}.X  
wit.android.bcpBankingApp.millenniumPL R)-~5"}~  
4lI&y<F  
Zt}b}Bz  
com.akbank.android.apps.akbank_direkt 8S5Q{[!  
com.finansbank.mobile.cepsube M zF,is  
com.garanti.cepsubesi {LT2^gy=  
com.pozitron.iscep $3xDjiBb  
com.tmobtech.halkbank q#K0EAgC  
com.vakifbank.mobile S<z8  
com.ykb.android #Q BW%L  
com.ziraat.ziraatmobil E:;MI{;7  
t ?05  
89t"2|9 u  
ca.bnc.android "]W,,A-  
com.americanexpress.android.acctsvcs.us >^SQrB   
com.chase.sig.android GK1P7Qy?V  
com.cibc.android.mobi t"OP*  
com.citi.citimobile 7Rd(,eWE@  
com.clairmail.fth Mm!;+bM%  
com.coinbase.android [E/. r{S  
com.creditkarma.mobile > w SI0N  
com.discoverfinancial.mobile Q_dMuoI  
com.fi9228.godough b5? kgY  
com.firstpremier.mypremiercreditcard h-x~:$Z,  
com.infonow.bofa A@-U#UvN  
com.jpm.sig.android _Ud!tK*H  
com.moneybookers.skrillpayments ]W5p\(1g  
com.paybybank.westernunion %'VzN3Q5V  
com.paypal.android.p2pmobile /m i&7C(6  
com.pnc.ecommerce.mobile NC iB n>=:  
com.suntrust.mobilebanking 6PC?*^v  
com.tdbank eU.C<Tv:8  
com.td qnqS^K,':  
com.transferwise.android nzF2Waa-  
com.unionbank.ecommerce.mobile.android G<]@nP{P  
com.usaa.mobile.android.usaa 1 |/ |Lq%w  
com.usb.cps.axol.usbc ?y__ Vrw  
com.wf.wellsfargomobile +|x%a2?x:  
me.doubledutch.rbccapitalmarkets ~Q5]?ZNX  
4N= gl(  
h"'}Z^  
劫持sdk<=22设备
 kq([c r  
<9T,J"y  
L+eK)Q  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
Hs{x Z:  
获取sdk>22顶层包名
F? ps? e  
=NSunW!  
\j &&o  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
",#Ug"|2  
vsQvJDna~  
A,(9|#%L  
P>$+XrTE  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
|;^$IZSsz  
钓鱼界面
U??OiKVZ+  
THB[(3q  
提交用户输入
LabI5+g  
Zq H-]?)  
P0U&+^W"9  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
DZA '0-  
4/v[ .5  
Dz/MIx  
.[s6PzQy  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 J HV  
5@ Hg 4.  
!D V0u)k(  
安全建议 f zL5C2d  
tV4wkS=R|  
!lA~;F  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 kV8qpw}K  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 @\>7 wt_'  
5H|7DVG  
K4I/a#S'@6  
------------------------------------------------------------------- VW;E14  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)