阿里云
发表主题 回复主题
  • 5942阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 2f..sNz  
DsQ/aG9c%  
%\I.DEYH  

(("OYj  
背景 E {>`MNj  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 E474l  
F1c&0*_A  
l &Z(K,6  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 '{VM> Q  
ny1 \4C  
&HL{LnLP@/  
木马运行流程如下: ~ 5"J(  
.$wLLE^*  
784;]wdy\  
qd(hQsfqYU  
_6rKC*Pe1  
是否触发恶意代码 *P xf#X  
SRf5W'4y  
9p*-?kPb  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
=l,#iYJP8  
oEIqA  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 $?f]ZyZr.  
9v~5qv;  
@?a4i  
|Fp'/~|w2d  
核心服务 P) 1 EA;  
v#Upw\!  
s0!kwrBsp  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
$1e pf  
j38 6gL  
z2~87fv+  
下图上传木马运行环境
bNs[O22  
上传设备状态
e5OVq ,  
c F=P!2 @  
\Tkp  
上传已安装银行app
hr~.Lj5^W  
<kbnu7?a*  
Tf[dZ(+\  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| !I7?  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 j@t{@Ke  
6[+j'pW?  
E9R]sXf8  
随后C&C端返回控制指令,指令解析如下。
iT$d;5_pU  
7@a\*|K6  
H:MUNc8i  
]}~4J.Yn  
R@$+t:}  
劫持分析 a7*COh  
;@4sd%L8V  
iAHZ0Du  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 T 9MzUV&  
_yJ|`g]U3  
KBj@V6Q  
+.K*n&  
dk:xnX%  
另外的一些钓鱼界面。
;-Ado8  
&Ea"hd  
tWX7dspx/  
Ys%'#f  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: tNB%eb{  
at.bawag.mbanking ogp{rY  
at.easybank.mbanking g/B\ObY  
at.spardat.netbanking q#m!/wod  
at.volksbank.volksbankmobile pJocI_v9  
com.rbs.mobile.android.rbs 0<3E  
com.isis_papyrus.raiffeisen_pay_eyewdg yWmrdvL  
/} a_8iM\  
^vG=|X|)c  
au.com.bankwest.mobile z6 a,0&;-L  
au.com.ingdirect.android XJ O[[G`  
au.com.nab.mobile !YY 6o V  
com.commbank.netbank y,V6h*x2  
org.banksa.bank  d~sJ=)  
org.stgeorge.bank @"0uM?_)-  
org.westpac.bank \*Ts)EW  
OelU D/[$  
V&g)m.d:n  
com.db.mm.deutschebank W oWBs)E  
com.barclays.android.barclaysmobilebanking }\DAg'e)  
com.starfinanz.mobile.android.dkbpushtan "A]?M<R  
com.starfinanz.smob.android.sbanking z>7=k`x`:  
com.starfinanz.smob.android.sfinanzstatus  w"BIv9N  
de.adesso.mobile.android.gad el}hcAY/RP  
de.comdirect.android =pyVn_dg  
de.commerzbanking.mobil 3Fgz)*Gu]  
de.consorsbank " cNg :  
de.dkb.portalapp Q*Y 4m8wY  
de.fiducia.smartphone.android.banking.vr lQh~Q<[ge  
de.ing_diba.kontostand Bpm,mp4g\#  
de.postbank.finanzassistent p?}f|mQS)  
mobile.santander.de )sRN!~  
U&`6&$]  
1k$2LQ  
com.IngDirectAndroid 4C6=77Jr  
com.arkea.android.application.cmb EG%I1F%  
com.arkea.android.application.cmso2 ~KJ,SLzhx9  
com.boursorama.android.clients ES^NBI j5P  
com.cacf.MonCACF Rq"VB.ef&{  
com.caisseepargne.android.mobilebanking 0,:iE\  
com.cic_prod.bad Pb0)HlLq  
com.cm_prod.bad F ~*zC`>Y  
com.fullsix.android.labanquepostale.accountaccess #,t2*tM  
com.groupama.toujoursla @<|6{N<  
com.lbp.peps 0K&_D)  
com.macif.mobile.application.android $K`_ K#A  
com.ocito.cdn.activity.creditdunord )uANmThOz  
fr.axa.monaxa jMTRcj];(  
fr.banquepopulaire.cyberplus +8]W\<Kp  
fr.banquepopulaire.cyberplus.pro :b.3CL\.6  
fr.creditagricole.androidapp C\y[&egww  
fr.lcl.android.customerarea hT.4t,wa8  
fr.lemonway.groupama Vp|2wlFE-  
mobi.societegenerale.mobile.lappli dz{#"No0  
net.bnpparibas.mescomptes ?$UH9T9)  
$$k7_rs  
;+TMx(  
com.comarch.mobile c$@`P  
com.getingroup.mobilebanking s4x'f$r  
com.konylabs.cbplpat s.f`.o  
eu.eleader.mobilebanking.pekao N<p5p0  
eu.eleader.mobilebanking.raiffeisen UAnB=L,.\  
pl.bzwbk.bzwbk24 [Bl $IfU  
pl.bzwbk.mobile.tab.bzwbk24 P]|J?$1K  
pl.eurobank oxUE79  
pl.ing.ingmobile Tm (Q@  
pl.mbank hfJrQhmE  
pl.pkobp.iko ^RYn8I  
wit.android.bcpBankingApp.millenniumPL =6.8bZT\  
s]$HkSH  
Hlz'a1\:O]  
com.akbank.android.apps.akbank_direkt W Atg  
com.finansbank.mobile.cepsube q >Q:X3  
com.garanti.cepsubesi @WhZx*1  
com.pozitron.iscep j)g_*\tQ  
com.tmobtech.halkbank Ah6wU|_-g  
com.vakifbank.mobile A ~qW.  
com.ykb.android 2z'+1+B'  
com.ziraat.ziraatmobil 1~["{u  
EJ WOXxU  
43vGgGW  
ca.bnc.android 6a "VCE]  
com.americanexpress.android.acctsvcs.us fG:PdIJ7_  
com.chase.sig.android [5>S-Z  
com.cibc.android.mobi $sU5=,  
com.citi.citimobile +")qi =  
com.clairmail.fth k98< s  
com.coinbase.android F Q8RK~?`  
com.creditkarma.mobile J!21`M-Ue  
com.discoverfinancial.mobile XNc"kp? z  
com.fi9228.godough 3MNhH  
com.firstpremier.mypremiercreditcard }*fW!(*  
com.infonow.bofa LydbP17K}  
com.jpm.sig.android [@,OG-"&  
com.moneybookers.skrillpayments 2ApDpH`fiJ  
com.paybybank.westernunion k#1`  
com.paypal.android.p2pmobile 6F|Hg2tpz  
com.pnc.ecommerce.mobile v#Cz&j  
com.suntrust.mobilebanking )GiFkG  
com.tdbank {:};(oz)f  
com.td %NF<bEV  
com.transferwise.android \_*?R,$3Y,  
com.unionbank.ecommerce.mobile.android /3CHE8nSh  
com.usaa.mobile.android.usaa jMm_A#V>p  
com.usb.cps.axol.usbc -XS+Uv  
com.wf.wellsfargomobile &&(4n?   
me.doubledutch.rbccapitalmarkets 9%p7B~}E  
baUEsg[~V  
{pcf;1^t  
劫持sdk<=22设备
OPvj{Dv$0  
wQo6!H "K  
ql#{=oGDnA  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
?6gDbE%  
获取sdk>22顶层包名
N>&{Wl'y\  
kcq9p2zKv  
?/`C~e<J  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
<;$Sa's,LE  
X_-Hrp!h  
nvO%  
B|]t\(~$ [  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
%fn'iKCB  
钓鱼界面
 |0C|$2  
({d,oU$>y  
提交用户输入
L337/8fh  
:,h=2a_ 8  
bl:a&<F  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
4*N@=v  
OEy:#9<'  
K,lK\^y  
)*^OPVt  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 K]H"qG.K  
C;58z 5*,  
bBeFL~  
安全建议 KV^:sxU  
zn2"swhq\V  
UZ4tq  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 (x1"uy7_  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 8^P2GG'+-  
Azq#}Oe)u  
@,y FY  
------------------------------------------------------------------- &P,4EaC9;  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 54 + 0 = ?
上一个 下一个