阿里云
发表主题 回复主题
  • 6802阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 @R_ON"h  
gW-mXb  
W)<t7q+  

] T<#bNK\1  
背景  u]OYu  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 IuY4R0Go  
v?YxF}  
aL&nD1f=!-  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ?IG[W+M8  
W]5Hc|!^^  
F_Gc_eT  
木马运行流程如下: P  Ij  
iwy;9x  
SZUo RWx  
H*P[tyz$  
)nGH$Mu  
是否触发恶意代码 CFUn1^?0  
]v]tBVO$  
'6cXCO-_P  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
n1x"B>3  
4y.qtiIP>$  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 n]6-`fpD  
?G<ISiABQC  
1ASoH,D/  
tAPf#7{|   
核心服务 fRT4>So   
k?rJGc G  
6a<zZO`Z6+  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
I1#MS4;$^  
r@}8TE*|P  
^wD`sj<Qg  
下图上传木马运行环境
!b=W>5h  
上传设备状态
;XQ27,K&  
cvQAo|  
U^eos;:s8  
上传已安装银行app
a;v4R[lQ  
1:r#m- \  
~ToU._  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| CYlS8j  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 M ziOpraj  
, 6Jw   
Yep~C %/}  
随后C&C端返回控制指令,指令解析如下。
ExMd$`gW  
=ZO lE|4  
0yvp>{;p  
+,]VXH<y  
o@7U4#E  
劫持分析 &YcOmI/MM  
C,A/29R,s  
3Fxr=  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 u:f.;?  
?;H}5>^8P  
jE wt1S V  
i(OeE"YA  
1;DRcVyS+  
另外的一些钓鱼界面。
B^]PKjLNZ  
,QpFVlPU  
?3 k_YN"  
89;@#9  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: aL`wz !  
at.bawag.mbanking 8 ]exsn Z  
at.easybank.mbanking FUlhEH  
at.spardat.netbanking l^OflZC~  
at.volksbank.volksbankmobile [0hahR  
com.rbs.mobile.android.rbs G~v:@  
com.isis_papyrus.raiffeisen_pay_eyewdg &oq 0XV.M^  
E1tCY.N{  
IVkB)9IW  
au.com.bankwest.mobile zA8@'`Id  
au.com.ingdirect.android }]PHE(}7  
au.com.nab.mobile gua7<z6=eh  
com.commbank.netbank Je6wio- 4  
org.banksa.bank tpC^68* F  
org.stgeorge.bank gBi3^GxjM?  
org.westpac.bank =JgR c7  
'?mF,C o{  
<+-n lK4  
com.db.mm.deutschebank _@!vF,Wcf  
com.barclays.android.barclaysmobilebanking 4xr^4\ lk  
com.starfinanz.mobile.android.dkbpushtan IsE3-X|  
com.starfinanz.smob.android.sbanking VXWV Pj#  
com.starfinanz.smob.android.sfinanzstatus kHylg{i{"  
de.adesso.mobile.android.gad /\b* oPWJ  
de.comdirect.android +(92}~RK  
de.commerzbanking.mobil o2U5irU  
de.consorsbank }`Ya;  
de.dkb.portalapp 0bM_EC  
de.fiducia.smartphone.android.banking.vr 2/fol TR7  
de.ing_diba.kontostand #` gu<xlW  
de.postbank.finanzassistent *bf 5A9  
mobile.santander.de $b1>,d'oz  
Vjv6d&Q  
RuIBOo\XL7  
com.IngDirectAndroid  IPK1g3Z  
com.arkea.android.application.cmb oJr+RO  
com.arkea.android.application.cmso2 2#R$-* ;#  
com.boursorama.android.clients 1x;@BV  
com.cacf.MonCACF xZ P SUEG  
com.caisseepargne.android.mobilebanking Cj-&L<  
com.cic_prod.bad /go[}X5QR[  
com.cm_prod.bad g^(gT  
com.fullsix.android.labanquepostale.accountaccess aH?Ygzw  
com.groupama.toujoursla 4Ii5V c  
com.lbp.peps `| ?<KF164  
com.macif.mobile.application.android o cW~I3  
com.ocito.cdn.activity.creditdunord 452kE@=49  
fr.axa.monaxa ||QK)$"  
fr.banquepopulaire.cyberplus 1L4-;HYJm  
fr.banquepopulaire.cyberplus.pro j67ppt  
fr.creditagricole.androidapp zHZfp_I  
fr.lcl.android.customerarea */aQ+%>jf  
fr.lemonway.groupama qS @3:R  
mobi.societegenerale.mobile.lappli F+(S-Qk1  
net.bnpparibas.mescomptes M' z.d  
RVttk )Ny  
0 a{hCx|$J  
com.comarch.mobile EA>.SSs!  
com.getingroup.mobilebanking <hCO-r#  
com.konylabs.cbplpat D1ZyJs#  
eu.eleader.mobilebanking.pekao A/2$~4,  
eu.eleader.mobilebanking.raiffeisen I*.nwV<  
pl.bzwbk.bzwbk24 Ue 9Y+'-x  
pl.bzwbk.mobile.tab.bzwbk24 we`BqZV  
pl.eurobank /-FV1G,h  
pl.ing.ingmobile =h vPq@C%  
pl.mbank U&BCd$  
pl.pkobp.iko /Z:NoTGn  
wit.android.bcpBankingApp.millenniumPL {f-O~P<Z4  
%50)?J=zB  
u:|^L]{  
com.akbank.android.apps.akbank_direkt JK< []>O  
com.finansbank.mobile.cepsube o{#aF=`{  
com.garanti.cepsubesi E Ou[X'gLr  
com.pozitron.iscep n46!H0mJ  
com.tmobtech.halkbank v; i4ZSV^A  
com.vakifbank.mobile ; &6 {c  
com.ykb.android v2rO>NY4  
com.ziraat.ziraatmobil zTB&Wlt  
8]`#ax 5  
hQj@D\}  
ca.bnc.android ph5{i2U0  
com.americanexpress.android.acctsvcs.us yYJ_;Va  
com.chase.sig.android njxLeD e-  
com.cibc.android.mobi a r8iuwfZ  
com.citi.citimobile X$6NJ(2G  
com.clairmail.fth ?} 8r h%  
com.coinbase.android *`"+J_   
com.creditkarma.mobile T>% 5<P  
com.discoverfinancial.mobile TSewq4`K  
com.fi9228.godough a-|pSe*rx  
com.firstpremier.mypremiercreditcard ``jNj1t{}  
com.infonow.bofa 1Mp-)-e  
com.jpm.sig.android !i-t6f  
com.moneybookers.skrillpayments \B~ g5}=  
com.paybybank.westernunion Wrb[\ ?-  
com.paypal.android.p2pmobile 5GScqY,aB  
com.pnc.ecommerce.mobile B;N<{Gb  
com.suntrust.mobilebanking  cX C[O  
com.tdbank A{q%sp:3~  
com.td Hj r'C?[  
com.transferwise.android rwXpB<@l@  
com.unionbank.ecommerce.mobile.android l,h`YIy  
com.usaa.mobile.android.usaa ![K\)7iKo  
com.usb.cps.axol.usbc \;N+PE  
com.wf.wellsfargomobile &Iy5@8  
me.doubledutch.rbccapitalmarkets /gF)msUF  
Lp:VU-S  
#[9UCX^=  
劫持sdk<=22设备
"|Q.{(|kO1  
YSGE@  
)-!)D  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
D^O[_/i&  
获取sdk>22顶层包名
r]cq|Nv8:  
+ GQ{{B  
\0 h>!u  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
")MHP~ ?  
`{{6vb^g  
0=HB!{ @  
,V 52Fj  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
u|}\Af  
钓鱼界面
.TA)|df ^  
79>x/jZka  
提交用户输入
3v_j*wy  
4_-&PZ,d  
8m' f8.x  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
1(Vv-bq$  
?9{^gW4|  
l[[`-f8j  
Q +l{> sL  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 Vn5%%?]J  
Xk|a%%O*H  
9U<WR*H  
安全建议 %%X/gvaJ  
Xxh^4vKjX  
Te}gmt+#%  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 A nl1+  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 bX38=.up  
vT{(7m!Ra  
)2y [#Blo  
------------------------------------------------------------------- )R `d x  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 79 + 18 = ?
上一个 下一个