阿里云
服务器地域选择
发表主题 回复主题
  • 1755阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
103
云币
361
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 dG-or  
!3I(4?G,  
/8>0; bX+  

-*%!q$:  
背景 + sywgb)  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 A ,-V$[;~D  
yw.~trF&%  
=^Sw*[eiy  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ?QMclzh*-  
2zKo  
TD{=L*{+  
木马运行流程如下: [ .j]V-61  
wD6!#t k  
FL`1yD^2  
yS)- &t!;  
Ni!;-,H+E  
是否触发恶意代码 NSS4v tA  
97Zk P=Cq  
ZUXse1,  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
cZe'!CQS  
n{64g+  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 4@v1jJj  
XLZ j  
_,_8X7  
', sQ/#S  
核心服务 B;GxfYj  
[A"H/Qztk  
qDRNtFa  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
+ze}0lrEL  
}dX/Y /  
$ZI~8rI~  
下图上传木马运行环境
w%3Fg~Up  
上传设备状态
hdd>&?p3  
%2Epgh4?  
,!6M* |  
上传已安装银行app
l:Dn3Q  
jCTy:q]  
(0E U3w?]  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| h; 'W :P  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 +{xMIl_  
0)d?Y  
T?X^0UdJj  
随后C&C端返回控制指令,指令解析如下。
+/y{^}b/  
A\".t=+7  
>|a\>UgC  
-3.UE^W2  
/Hv* K&}M  
劫持分析 Hp\Ddx >Jd  
T3PX gL)o  
;>9OgO  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 /M3y)K`^  
~J0,)_b%*  
6Z~Ya\~.g.  
lPY@{1W  
m@ i2#  
另外的一些钓鱼界面。
I"ca+4]  
9>N\sOh  
1"}B]5!  
8rFaW  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: *(k%MTG  
at.bawag.mbanking F9MR5O"  
at.easybank.mbanking f hQy36i@  
at.spardat.netbanking sN m,Fmuz:  
at.volksbank.volksbankmobile ^:qD.h>&  
com.rbs.mobile.android.rbs G%a] j  
com.isis_papyrus.raiffeisen_pay_eyewdg kg<P t >  
bE?'C h  
/xcJo g~F,  
au.com.bankwest.mobile Mx8Gu^FW.d  
au.com.ingdirect.android eGLO!DdxZ  
au.com.nab.mobile >;)2NrJV  
com.commbank.netbank 8;TAb.r  
org.banksa.bank NZ>7dJ  
org.stgeorge.bank H+a~o=/cR  
org.westpac.bank D!oZ?dGCo6  
2\VAmPG.Zs  
 kI%peb?  
com.db.mm.deutschebank &i5:)d]L  
com.barclays.android.barclaysmobilebanking 0<g<GQ(E  
com.starfinanz.mobile.android.dkbpushtan YG4WS |  
com.starfinanz.smob.android.sbanking %JQ~!3  
com.starfinanz.smob.android.sfinanzstatus ;{k=C2  
de.adesso.mobile.android.gad z!$gVWG  
de.comdirect.android :c y >c2  
de.commerzbanking.mobil 4r\*@rq  
de.consorsbank ABc)2"i:*  
de.dkb.portalapp / |GT\X4o  
de.fiducia.smartphone.android.banking.vr s`"OM^[-  
de.ing_diba.kontostand s2%V4yy%  
de.postbank.finanzassistent 1HhX/fpq  
mobile.santander.de 0#QKVZq2>  
IZ*}idlkn/  
3cqQL!Gm  
com.IngDirectAndroid eIg+PuQD]  
com.arkea.android.application.cmb iU5P$7.p  
com.arkea.android.application.cmso2 o~#f1$|Xn  
com.boursorama.android.clients n#BvW,6J  
com.cacf.MonCACF j$Nf%V 6Y  
com.caisseepargne.android.mobilebanking daslaa_A  
com.cic_prod.bad MTb,Kmw<(  
com.cm_prod.bad GW3>&j_!d  
com.fullsix.android.labanquepostale.accountaccess d ",(a Z  
com.groupama.toujoursla II;Te7~  
com.lbp.peps o)&"Rf  
com.macif.mobile.application.android Q".g.k  
com.ocito.cdn.activity.creditdunord 8Atq,GcG  
fr.axa.monaxa edijfhn  
fr.banquepopulaire.cyberplus p&^J=_O  
fr.banquepopulaire.cyberplus.pro gO='A(Y  
fr.creditagricole.androidapp Z~p!C/B  
fr.lcl.android.customerarea #op:/j  
fr.lemonway.groupama H_w%'v&  
mobi.societegenerale.mobile.lappli {~N3D4n^  
net.bnpparibas.mescomptes @TzvT3\q  
jvHFFSK  
7?J3ci\  
com.comarch.mobile Kb&V!#o)  
com.getingroup.mobilebanking ~~nqU pK?v  
com.konylabs.cbplpat l!?yu]Yon  
eu.eleader.mobilebanking.pekao *%!M4&  
eu.eleader.mobilebanking.raiffeisen BLn_u,3  
pl.bzwbk.bzwbk24 "3fBY\>a  
pl.bzwbk.mobile.tab.bzwbk24 M0L&~p_F  
pl.eurobank ;+U<bqL6  
pl.ing.ingmobile $wV1*$1NM  
pl.mbank _?`&JF?*  
pl.pkobp.iko J;}3t!  
wit.android.bcpBankingApp.millenniumPL gCuAF$o  
M;jcUX_{  
mR% FqaN_  
com.akbank.android.apps.akbank_direkt E.`6oX\L|  
com.finansbank.mobile.cepsube 0[xpEiDx  
com.garanti.cepsubesi ])w[   
com.pozitron.iscep < Ek/8x  
com.tmobtech.halkbank W .I\J<=V  
com.vakifbank.mobile iWA|8$u4gm  
com.ykb.android hmC*^"C>U=  
com.ziraat.ziraatmobil 3mO;JXd  
~ #PLAP3-  
4)kG-[#  
ca.bnc.android GZ3 ]N  
com.americanexpress.android.acctsvcs.us T2FE+A]n9  
com.chase.sig.android W)*p2 #l  
com.cibc.android.mobi A"uULfnk  
com.citi.citimobile ;65D  
com.clairmail.fth M Hi8E9_O  
com.coinbase.android i47j lyH  
com.creditkarma.mobile ;H'gT+t<c  
com.discoverfinancial.mobile -!e7L>w  
com.fi9228.godough }TB(7bbd;  
com.firstpremier.mypremiercreditcard V}WB*bE  
com.infonow.bofa t2>fmQIQ  
com.jpm.sig.android Hfym30  
com.moneybookers.skrillpayments o}$1Ay*q`  
com.paybybank.westernunion !do?~$Og  
com.paypal.android.p2pmobile *\G)z|^yx  
com.pnc.ecommerce.mobile \ZI'|Ad  
com.suntrust.mobilebanking ~" i0x  
com.tdbank k*mt4~KLT8  
com.td CGbwmPx  
com.transferwise.android 2]cRXJ7h  
com.unionbank.ecommerce.mobile.android Lel|,mc`k2  
com.usaa.mobile.android.usaa E"~2./+rd  
com.usb.cps.axol.usbc uXjP`/R|  
com.wf.wellsfargomobile Oz: *LZ  
me.doubledutch.rbccapitalmarkets he(A3{'  
%]2, &  
eWJ`$"z  
劫持sdk<=22设备
ml`8HXK0  
v\tEVhm  
P!G858V(  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
G<|8?6bq#  
获取sdk>22顶层包名
QX4ai3v  
)3Z ^h<"j  
"pP^*9FrA  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
"ZM4F?x  
?iI4x%y  
.Z:zZ_Ev  
",7Q   
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
d?`ny#,GB  
钓鱼界面
1i[FY?6`dh  
ZOCDA2e(j  
提交用户输入
C CBfKp  
?T9(Vw  
N ,8/Y  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
}J">}j]/  
|KSy`lY-j>  
~T&<CTh  
+_XzmjnDd  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 n8*;lK8  
;r_F[E2z  
P9g en6  
安全建议 x8S7oO7  
z9FfU  
T}V!`0vKw  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 Zjbc3 M5  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 n2)q}_d  
%3NqSiMs  
QFYWA1<pDh  
------------------------------------------------------------------- ~0beuK&p  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 56 - 43 = ?
上一个 下一个