阿里云
发表主题 回复主题
  • 4237阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全  hAD gi^  
%< Jj[F  
/km0[M  

ZC)m&V 1  
背景 MF +F8h>/  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 ;kD Rm'(  
Nb\B*=4AR  
3 op{h6  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 +<WNAmh   
}jYVB|2  
#W/ATsDt  
木马运行流程如下: "4.A@XsY  
ephvvj~zW4  
!Za yN  
M?I^`6IOc8  
nsu RG  
是否触发恶意代码 U+ V yH4"  
?qbq\t  
#m3!U(Og`  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
=an 0PN  
8#RL2)7Uy`  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 a!, X@5  
<,Jx3y q  
P5v;o9B&  
HaQox.v%  
核心服务 <6C:\{eo  
>&Y\g?Z6G  
Zl?9ibm;@  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
kk}_AZ0eK  
|q Pu*vR  
{X-a6OQj  
下图上传木马运行环境
Am#Pa,g  
上传设备状态
2Vx x  
~ F>'+9?Sn  
}w{E<C(M  
上传已安装银行app
YAd%d|Q  
S(_DR 8  
4j<[3~:0 o  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| ix5<h }  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 a?*pO`<J{  
;dTxQ_:  
rGay~\  
随后C&C端返回控制指令,指令解析如下。
=0SJf 3  
Nf}i /  
-cP1,>Ahv  
rnBp2'EM  
 I^G6aw  
劫持分析 9rT"_d#  
j? Vs"d|  
K+Pa b ?  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 JI /iq  
Wl]XOUZ  
#It!D5A  
*pyC<4W  
6xu%M&ht  
另外的一些钓鱼界面。
!wKiMgLS  
1D%E})B6  
3V<c4'O\W  
{,= hIXo>  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: VREDVLQT  
at.bawag.mbanking ;s#]."v_=  
at.easybank.mbanking Z 4c^6v  
at.spardat.netbanking ^!x qOp!  
at.volksbank.volksbankmobile ,_K:DSiB  
com.rbs.mobile.android.rbs Hro)m"  
com.isis_papyrus.raiffeisen_pay_eyewdg X n Rm9%  
}6*JX\'q  
He&A>bA)z  
au.com.bankwest.mobile kH=qJ3Z  
au.com.ingdirect.android hPUZ{#;n  
au.com.nab.mobile IEWl I  
com.commbank.netbank LN9.Q'@r?  
org.banksa.bank ,<[x9 "3\  
org.stgeorge.bank 2FGCf} ,  
org.westpac.bank u(JuU/U  
.:tR*Kst`7  
eQIS`T  
com.db.mm.deutschebank ^c| 0?EH  
com.barclays.android.barclaysmobilebanking u3sr"w&  
com.starfinanz.mobile.android.dkbpushtan #q8/=,3EG  
com.starfinanz.smob.android.sbanking In*0.   
com.starfinanz.smob.android.sfinanzstatus !k#N] 9D3  
de.adesso.mobile.android.gad l s%'\}  
de.comdirect.android ;}k_  
de.commerzbanking.mobil ZL9|/ PY  
de.consorsbank y tTppmJF  
de.dkb.portalapp NU[Wj uLG  
de.fiducia.smartphone.android.banking.vr WrR8TYq9D]  
de.ing_diba.kontostand \p)eY#A  
de.postbank.finanzassistent Htep3Ol3  
mobile.santander.de 51'V[tI;8  
t`1~5#?Du(  
uC2 5pH"  
com.IngDirectAndroid xww\L &y  
com.arkea.android.application.cmb (>dL  
com.arkea.android.application.cmso2 X$ A ]7t  
com.boursorama.android.clients \]Rmq_O  
com.cacf.MonCACF ^;@!\Rc  
com.caisseepargne.android.mobilebanking }mS+%w"j  
com.cic_prod.bad &]c7<=`K"  
com.cm_prod.bad VGOdJ|2]Wr  
com.fullsix.android.labanquepostale.accountaccess u#0EZ2 >#  
com.groupama.toujoursla IOl0=+p  
com.lbp.peps v&`n}lS  
com.macif.mobile.application.android D~,i I7ac  
com.ocito.cdn.activity.creditdunord 5=;'LWXCJ  
fr.axa.monaxa %3q7i`AZ  
fr.banquepopulaire.cyberplus o|V=3y Ok  
fr.banquepopulaire.cyberplus.pro :Y)G-:S+  
fr.creditagricole.androidapp -i4hJC!3  
fr.lcl.android.customerarea ] .c$(.  
fr.lemonway.groupama ~bfjP2 g  
mobi.societegenerale.mobile.lappli 7[8d-Sf24{  
net.bnpparibas.mescomptes 83Fmu/(  
[V;Q#r&+  
lV?OYS|4i  
com.comarch.mobile L(BL_  
com.getingroup.mobilebanking r7v 1q  
com.konylabs.cbplpat #F+b^WTR  
eu.eleader.mobilebanking.pekao h'A #Yp0,  
eu.eleader.mobilebanking.raiffeisen -J++b2R\%  
pl.bzwbk.bzwbk24 /fxv^C82yv  
pl.bzwbk.mobile.tab.bzwbk24 u2l`% F`x  
pl.eurobank %UCuI9  
pl.ing.ingmobile =`wnng5m  
pl.mbank h8HA^><Xr  
pl.pkobp.iko {-s7_\|p(  
wit.android.bcpBankingApp.millenniumPL 1@Rl^ey  
h>n<5{zqM  
<Kq!)) J'  
com.akbank.android.apps.akbank_direkt 1!2,K ot  
com.finansbank.mobile.cepsube q7zHT=@$  
com.garanti.cepsubesi m# I  
com.pozitron.iscep .p\<niu7  
com.tmobtech.halkbank N#vV;  
com.vakifbank.mobile 5~xv"S(E}  
com.ykb.android t8S,C4  
com.ziraat.ziraatmobil )>WSuf j  
vce1'aW  
CGCSfoS9f  
ca.bnc.android s#V:! 7  
com.americanexpress.android.acctsvcs.us @4j!M1} 4  
com.chase.sig.android EN~ha:9  
com.cibc.android.mobi 1&JB@F9!  
com.citi.citimobile ,F0bkNBG  
com.clairmail.fth m#t  
com.coinbase.android ~@EBW3>~5  
com.creditkarma.mobile \ dZD2e4  
com.discoverfinancial.mobile F$H^W@<w  
com.fi9228.godough O.wk*m!9  
com.firstpremier.mypremiercreditcard W$?Bsz)  
com.infonow.bofa l|~SVk|  
com.jpm.sig.android W8s/"  
com.moneybookers.skrillpayments N^By#Z  
com.paybybank.westernunion /N\[ C"8  
com.paypal.android.p2pmobile Mj-B;r  
com.pnc.ecommerce.mobile B}2 JK9  
com.suntrust.mobilebanking L9(!L$  
com.tdbank }TAHVcX*p  
com.td he1W22  
com.transferwise.android 99..]  
com.unionbank.ecommerce.mobile.android ~:lN("9OI  
com.usaa.mobile.android.usaa p+d?k"WN?  
com.usb.cps.axol.usbc P :D6w){  
com.wf.wellsfargomobile s9}VnNr  
me.doubledutch.rbccapitalmarkets MbeO(Q  
U4$CkTe2Y  
E7UYJ)6]  
劫持sdk<=22设备
dzwto;  
b py576GwA  
\hT=U*dMR  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
>J No2  
获取sdk>22顶层包名
A/{0J\pA  
ISl-W1u}  
CNF3".a  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
- Ado-'aaS  
QnNddCiu=  
v22ZwP  
A('_.J=  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
rq>Om MQ67  
钓鱼界面
-THU5AB  
+HOHu*D  
提交用户输入
V[N4 {c  
=ADdfuKN  
51lN,VVD  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
z4 yV1  
$9Yk]~  
SYsbe 5j  
IrZ!.5%tV  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 J|A:C[7 2  
rF8n z:8  
7v^V]&&s  
安全建议 l /\n7:  
R |h(SXa  
rWo&I _{  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 pZv>{=2hOS  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 3l8k O  
)Cm7v@B   
P<<hg3@  
------------------------------------------------------------------- %[9d1F 3  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个