阿里云
发表主题 回复主题
  • 1430阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
100
云币
358
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 InA=ty]"_U  
UMUG~P&@  
+?)R}\\  

u+ b `aB  
背景 YJGP8  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 G4rd<V0[D  
gz#2}  
HSR,moI  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 Pj8W]SA_  
nvB< pSm  
p~WX\;   
木马运行流程如下:  qC6@  
jP#I](\eG  
^P|Zze zwU  
BD- c<K"  
ZZ>F ^t  
是否触发恶意代码 ;Wgkf_3  
+2+|zXmT  
\ [bJ@f*."  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
cHC1l  
^+w1:C5  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 j^.|^q<Y  
; GEr8_7  
,]tEh:QC  
3N ?"s1U  
核心服务 r{{5@  
uuQsK. S  
{A~3/M%74;  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
P~84#5R1  
q'9;  
uSJLIb  
下图上传木马运行环境
Tol V3  
上传设备状态
7^;-[? l  
(coaGQ@d  
P6")OWd  
上传已安装银行app
\*M;W|8aB  
 ;{Yr|  
!$/P8T``M  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| "pO** z$Z  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 Tv `&  
8@ S@^C*F  
Kpkpr`:)]  
随后C&C端返回控制指令,指令解析如下。
>3,}^`l  
%jJIR88  
nt@uVwfQ  
]x66/O\0u  
MwX8FYF D  
劫持分析 ZENblh8fs  
,&g-DC ag  
{P3gMv;  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。  4&%E?_M  
qoZe<jW (  
m {&lU@uL  
!hE F.S  
i6S["\h>  
另外的一些钓鱼界面。
Esm=sPW  
!=HxL-`j  
B`w8d[cL7  
[ {HTGz@(  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: HdyE`FY\  
at.bawag.mbanking w4R~0jXy  
at.easybank.mbanking <<V"4 C2  
at.spardat.netbanking ;&!Q N#_  
at.volksbank.volksbankmobile -0I&dG-  
com.rbs.mobile.android.rbs '+GY6Ecg  
com.isis_papyrus.raiffeisen_pay_eyewdg RjR+'<7E^  
^5)=) xVF  
4hYK$!"r  
au.com.bankwest.mobile >[~`rOU*|Y  
au.com.ingdirect.android e.Jaq^Gw|  
au.com.nab.mobile W e*uZ?+  
com.commbank.netbank =4L%A=]`  
org.banksa.bank TH55@1W,[  
org.stgeorge.bank 06`caG|]-M  
org.westpac.bank A'"J'q*t  
0g Hd{H=  
~mZ[@ Z  
com.db.mm.deutschebank LoSrXK~0~J  
com.barclays.android.barclaysmobilebanking 5g;mc.Cvt  
com.starfinanz.mobile.android.dkbpushtan Pa=xc>m^  
com.starfinanz.smob.android.sbanking 7mn&w$MS4:  
com.starfinanz.smob.android.sfinanzstatus I|2dV9y  
de.adesso.mobile.android.gad }*!_M3O  
de.comdirect.android *g9VI;X  
de.commerzbanking.mobil A;e"_$yt8  
de.consorsbank oW>e.}d!  
de.dkb.portalapp "*TP@X?@f  
de.fiducia.smartphone.android.banking.vr L+mHeS l  
de.ing_diba.kontostand WpMm%G~'4t  
de.postbank.finanzassistent FuAs$;  
mobile.santander.de !Q}Bz*Y  
\5a;_N[Ed  
vrh2}biCR  
com.IngDirectAndroid .3wx}!:*|  
com.arkea.android.application.cmb k9&W0$I#  
com.arkea.android.application.cmso2 +x?8\  
com.boursorama.android.clients Yf1%7+V35  
com.cacf.MonCACF f:AfMf>m  
com.caisseepargne.android.mobilebanking CUft  
com.cic_prod.bad IK8" 3+(  
com.cm_prod.bad &#9HV  
com.fullsix.android.labanquepostale.accountaccess [Kb)Q{=)  
com.groupama.toujoursla @HY P_hR  
com.lbp.peps TXbi>t:/S{  
com.macif.mobile.application.android cK IA.c}N  
com.ocito.cdn.activity.creditdunord 4F!%mMq  
fr.axa.monaxa &Gm3  
fr.banquepopulaire.cyberplus E};1 H  
fr.banquepopulaire.cyberplus.pro :>jzL8  
fr.creditagricole.androidapp R$">  
fr.lcl.android.customerarea BDX>J3h  
fr.lemonway.groupama  Sg(\+j=  
mobi.societegenerale.mobile.lappli D+h`Z]"|  
net.bnpparibas.mescomptes #9A*BbY  
LX(`@-<DH  
}!WuJz"  
com.comarch.mobile iE]^ 6i  
com.getingroup.mobilebanking ir_X65l/2  
com.konylabs.cbplpat < [17&F0  
eu.eleader.mobilebanking.pekao !1<>][F  
eu.eleader.mobilebanking.raiffeisen )$O'L7In&  
pl.bzwbk.bzwbk24 V|4k=_-  
pl.bzwbk.mobile.tab.bzwbk24 Zj)A%WTD,  
pl.eurobank y )7;"3Q<  
pl.ing.ingmobile 4EhWK;ra  
pl.mbank iP?lP= M  
pl.pkobp.iko zB6&),[,v  
wit.android.bcpBankingApp.millenniumPL J& D0,cuk  
)r XUJ29.  
yq`  ,)  
com.akbank.android.apps.akbank_direkt p0pA|  
com.finansbank.mobile.cepsube CSr2\ogT  
com.garanti.cepsubesi 0}\8,U  
com.pozitron.iscep &Z+.FTo  
com.tmobtech.halkbank = Fwzm^}6  
com.vakifbank.mobile nwJc%0  
com.ykb.android bhCAx W  
com.ziraat.ziraatmobil UJ&gm_M+kL  
0fa8.g#I$  
*C(q{|f  
ca.bnc.android #o(@S{(NZ  
com.americanexpress.android.acctsvcs.us w)}@svv"  
com.chase.sig.android f/i[? gw  
com.cibc.android.mobi pF:C   
com.citi.citimobile K$-|7tJon  
com.clairmail.fth D!bi>]Yd  
com.coinbase.android (FOJHjtkM  
com.creditkarma.mobile A~'p~ @L  
com.discoverfinancial.mobile Aoy=gK  
com.fi9228.godough P~@I`r567  
com.firstpremier.mypremiercreditcard SXmh@a"*\  
com.infonow.bofa ,>I_2mc  
com.jpm.sig.android dkOERVRe  
com.moneybookers.skrillpayments oRl@AhS  
com.paybybank.westernunion lDG.\u  
com.paypal.android.p2pmobile 1i$OcN?x%  
com.pnc.ecommerce.mobile Y67i\U>?  
com.suntrust.mobilebanking T`)uR*$  
com.tdbank xf8.PqVNo  
com.td $+HS^m  
com.transferwise.android i$4lBy_2  
com.unionbank.ecommerce.mobile.android ~;nW+S$o  
com.usaa.mobile.android.usaa |r53>,oR<:  
com.usb.cps.axol.usbc /Pa<I^-#  
com.wf.wellsfargomobile ^Kh>La:>O  
me.doubledutch.rbccapitalmarkets .n)0@X!  
A;Uw b  
8hvh xp  
劫持sdk<=22设备
r7N% onx  
& /lmg!6  
u5dyhx7  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
?a-}1A{  
获取sdk>22顶层包名
WFpR@53Db  
`H\NJ,  
Jf8AKj3  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
69/qH_Y  
n!y}p q6  
-X#qW"92q  
W[j7Vi8v  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
\{`*`WQF  
钓鱼界面
=;A~$[g  
u+uu?.bM  
提交用户输入
%uhhQ<zs%  
9 !qVYU42(  
q9"~sCH  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
)Z2t=&Nw  
k~b8=$  
tc<t%]c  
%epK-q9[  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 A)q,VSR8  
ihdtq  
Y^f12%  
安全建议 &g<`i{_  
/q8?xP.   
da&f0m U  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 rfNt  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 c F (]`49(  
\4`2k  
vXM``|  
------------------------------------------------------------------- ba   
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 44 + 6 = ?
上一个 下一个