阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9347阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 lbt8S.fx  
iB W:t  
YC 4c-M  

,_(=w.F   
背景 V2?{ebx`  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 "4WnDd 5"  
\;'#8  
<Ez@cZ"  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ] +%`WCr9  
~28{BY  
SbX^DAlB1  
木马运行流程如下: *>qc6d@'  
|*J;X<Vm  
g&p(XuN  
<!G /&T  
WLU_t65  
是否触发恶意代码 \ CcVk"/  
9:RV5Dt  
2l V`UIa  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
]6v7iuvI  
|wb_im  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 -6_<]  
}Tm+gJA  
fuHNsrNlm  
3nhQ^zqf  
核心服务 t4;gY298  
`xv Uq\  
>(n /  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
`r=^{Y  
R=R]0  
9b-4BON{P  
下图上传木马运行环境
0 nI*9  
上传设备状态
{s*1QBM$\Z  
ueW/i  
jZ5ac=D&I  
上传已安装银行app
'^7Z]K<v  
23=wz%tF  
\C;Yn6PK0  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| &u"mFweS  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 g] IPNW^n  
Ls|)SiXrY  
3\ )bg R:  
随后C&C端返回控制指令,指令解析如下。
d\A7}_r*x  
pkG8g5(w  
;gJAxVD<  
2WKIO|'  
7PfNPz<4+  
劫持分析 ]B&jMj~y&  
nyhHXVRH  
YyYp-0#  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 fWg 3gRI  
5K|`RzZ`B$  
) cOBP}j+  
T 9}dgf  
:=quCzG  
另外的一些钓鱼界面。
>W:kTS<  
 HsG3s?*  
}ew )QHd  
ffOV7Dxy  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: {Aj=Rj@  
at.bawag.mbanking lYm00v6y  
at.easybank.mbanking '|%\QWuZ  
at.spardat.netbanking {>ghX_m |  
at.volksbank.volksbankmobile Oeg^%Y   
com.rbs.mobile.android.rbs lH,/N4 r*&  
com.isis_papyrus.raiffeisen_pay_eyewdg se_Oi$VZ{  
mX @xV*  
/5>A 2y  
au.com.bankwest.mobile K9RRY,JB  
au.com.ingdirect.android w0.;86<MV  
au.com.nab.mobile \%W"KLP  
com.commbank.netbank xiC.M6/  
org.banksa.bank tg2+Z\0)4g  
org.stgeorge.bank Lp{uA4:=K  
org.westpac.bank pe\]}&  
py/#h$eY  
*@ S+J$  
com.db.mm.deutschebank SmP&wNHQf  
com.barclays.android.barclaysmobilebanking ~MK%^5y?  
com.starfinanz.mobile.android.dkbpushtan `q y@Qo  
com.starfinanz.smob.android.sbanking DL '{ rK  
com.starfinanz.smob.android.sfinanzstatus Fy^8]u*Fu  
de.adesso.mobile.android.gad Q\le3KB  
de.comdirect.android NF*Z<$'%  
de.commerzbanking.mobil gF|u%_y-qt  
de.consorsbank VF:<q  
de.dkb.portalapp QyEoWKu;  
de.fiducia.smartphone.android.banking.vr U ,\t2z  
de.ing_diba.kontostand A9y3B^\*  
de.postbank.finanzassistent _/}/1/y$Y  
mobile.santander.de _s0;mvz'  
KD..X~Me  
K@!Gs'Op  
com.IngDirectAndroid Fau24-g  
com.arkea.android.application.cmb gCI{g. [I!  
com.arkea.android.application.cmso2 14 hE<u  
com.boursorama.android.clients ^#z*   
com.cacf.MonCACF ";w"dfC^  
com.caisseepargne.android.mobilebanking 6"c(5#H  
com.cic_prod.bad Uj)`(}r  
com.cm_prod.bad Z2I2 [pA  
com.fullsix.android.labanquepostale.accountaccess qZh}gu*>  
com.groupama.toujoursla AKUmh  
com.lbp.peps /V E|FTs  
com.macif.mobile.application.android G@6F<L~$1  
com.ocito.cdn.activity.creditdunord ~d=Y98'xS  
fr.axa.monaxa }m.45n/  
fr.banquepopulaire.cyberplus >B+!fi'SS>  
fr.banquepopulaire.cyberplus.pro <3[0A;W=1  
fr.creditagricole.androidapp te#Wv9x  
fr.lcl.android.customerarea 2j-^F  
fr.lemonway.groupama *~jTE;J  
mobi.societegenerale.mobile.lappli -h,?_d>  
net.bnpparibas.mescomptes Q;eY]l8  
)8JM.:,  
cFloaCz  
com.comarch.mobile '"]U+aIg  
com.getingroup.mobilebanking ,^&amWey  
com.konylabs.cbplpat Ox&]{  
eu.eleader.mobilebanking.pekao 4)E$. F^   
eu.eleader.mobilebanking.raiffeisen <4%vl+qW  
pl.bzwbk.bzwbk24 D[p`1$E-1v  
pl.bzwbk.mobile.tab.bzwbk24 em?Q4t  
pl.eurobank gE~LPwM  
pl.ing.ingmobile BKd?%V8:Q  
pl.mbank tk!5"`9N  
pl.pkobp.iko F4 =V* /7  
wit.android.bcpBankingApp.millenniumPL DN;3VT.-  
v] hu5t  
 Jju^4  
com.akbank.android.apps.akbank_direkt OzUo}QN  
com.finansbank.mobile.cepsube Jqz K5)  
com.garanti.cepsubesi #]@|mf q  
com.pozitron.iscep |?4NlB6  
com.tmobtech.halkbank cng166}1A  
com.vakifbank.mobile f}w_]l#[G  
com.ykb.android y=SVS3D  
com.ziraat.ziraatmobil tYCVVs`?  
ZMO ym=  
q0VR&b`?>D  
ca.bnc.android EjP9/V G@=  
com.americanexpress.android.acctsvcs.us k[{ ~ eN:  
com.chase.sig.android !TLJk]7uC  
com.cibc.android.mobi 2$FH+wuW  
com.citi.citimobile %'.3t|zH  
com.clairmail.fth 59BB-R,V  
com.coinbase.android hd@jm^k  
com.creditkarma.mobile jR>`Xz  
com.discoverfinancial.mobile H7(D8.y )  
com.fi9228.godough 40}7O<9*  
com.firstpremier.mypremiercreditcard %{ory5  
com.infonow.bofa z[' 2  
com.jpm.sig.android $0|`h)&  
com.moneybookers.skrillpayments vL8Rg} Jh4  
com.paybybank.westernunion oqbhb1D1<  
com.paypal.android.p2pmobile NiD_v  
com.pnc.ecommerce.mobile /h9v'Y}c  
com.suntrust.mobilebanking D.gD4g_O/  
com.tdbank i(> WeC+  
com.td 2WC$r8E  
com.transferwise.android (#8B  
com.unionbank.ecommerce.mobile.android LZ RP}|  
com.usaa.mobile.android.usaa k%V YAON  
com.usb.cps.axol.usbc z `jLKPP!=  
com.wf.wellsfargomobile m"!Q5[  
me.doubledutch.rbccapitalmarkets d'iSvd.  
Z"$iB-]  
Wg,7k9I  
劫持sdk<=22设备
8*Ty`G&v  
TjHt:%7.  
t1wzSG  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
w)&?9?~  
获取sdk>22顶层包名
A?h o<@^  
aJ}hlM>  
~O|~M_Z  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
&OA6Zw/A  
Vh>|F}%E  
"z*.Bk  
'KDt%?24  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
6|IJwP^Q_  
钓鱼界面
}B_?7+  
_D$1CaAYo  
提交用户输入
=cO5Nt  
W]XM<# ^^  
a~?B/ g&_  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
z?pi /`y8>  
X&IT  s  
;" Aj80  
P^!g0K  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 6TTu[*0NT  
(<rE1w2s:  
:s \zk^h?  
安全建议 (:F]@vT  
^4NRmlb  
`Ns Q&G  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 p3Ozfk  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 W?"l6s  
_>BYUPY  
#!E`%' s]  
------------------------------------------------------------------- dm]g:KWg  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 36 - 11 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)