阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 3933阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
371
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 .CP& bJP%  
O1')nYF7  
S"9zc ,]  

kw2T>  
背景 kd"N 29  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 >#ZUfm{k$  
c1X1+b,  
fs/*V~@  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ? ` SUQm  
lRh9j l  
=4d (b ;  
木马运行流程如下: z;@*r}H  
@p\}pY$T  
\EseGgd21  
1;<R#>&,*  
F R|&^j6  
是否触发恶意代码 @{Gncy|  
YBh'EL}P  
.k,YlFvj  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
w3jO6*_ M  
|7x\m t  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 F5S@I;   
KZPEG!-5  
\d::l{VB  
+S Jd@y@fR  
核心服务 ;# Q%j%J  
-*.-9B~u  
XrZ*1V  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
]l8^KX'  
,AT[@  
EqI(|bFwy  
下图上传木马运行环境
y(K" -?  
上传设备状态
'uy/o)L  
o6$4/I  
ToYAW,U[d  
上传已安装银行app
\6\<~UX^  
 T Q,?>6n  
=hl}.p  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| 7g3 >jh  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 {T].]7Z  
JchSMc.9  
G8Du~h!!U  
随后C&C端返回控制指令,指令解析如下。
* RtgC/  
u{L!n$D7  
p) +k=b  
ZRYEqSm  
={u0_j W  
劫持分析 &\_iOw8  
m4*@o?Ow  
@e{^`\l=<  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 mx=BD'  
h yv2SxP*  
%;D.vKoh  
g&{9VK6.  
{26ONa#i  
另外的一些钓鱼界面。
VH:]@x//{  
8,uB8C9  
)rixMl &[  
~ar=PmYV7  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: KZeQ47|  
at.bawag.mbanking ccL~#c0P7  
at.easybank.mbanking //aF5 :Y#  
at.spardat.netbanking /soKucN"h  
at.volksbank.volksbankmobile I"`M@ %  
com.rbs.mobile.android.rbs 0P]E6hWgg  
com.isis_papyrus.raiffeisen_pay_eyewdg |n] d34E  
e zOj+vz  
n..g~ $k  
au.com.bankwest.mobile ? C/Te)  
au.com.ingdirect.android `HBf&Z  
au.com.nab.mobile z0do;_x]E  
com.commbank.netbank !Xph_SQ!B=  
org.banksa.bank F,'exuZ  
org.stgeorge.bank wKsT7c'  
org.westpac.bank jkvgoxY  
[2Ud]l:6E  
/Js7`r=Rx  
com.db.mm.deutschebank <Z/x,-^*<  
com.barclays.android.barclaysmobilebanking p"U, G -_  
com.starfinanz.mobile.android.dkbpushtan NhYLt w^u  
com.starfinanz.smob.android.sbanking Kx%Sku<F'  
com.starfinanz.smob.android.sfinanzstatus rX1QMR7?  
de.adesso.mobile.android.gad Nj 00W1  
de.comdirect.android S)/_muP  
de.commerzbanking.mobil ~b2wBs)r  
de.consorsbank s S7c!  
de.dkb.portalapp }3L@J8:D"  
de.fiducia.smartphone.android.banking.vr 0xXC^jx:  
de.ing_diba.kontostand lO_UPC\@fw  
de.postbank.finanzassistent >MvDVPi~+  
mobile.santander.de Zp# v Hs  
Vkc#7W(  
}_68j8`  
com.IngDirectAndroid :]1 TGfS  
com.arkea.android.application.cmb ,1"KHv  
com.arkea.android.application.cmso2 .>IhN 5  
com.boursorama.android.clients J":,Vd!*-  
com.cacf.MonCACF aX}P|l  
com.caisseepargne.android.mobilebanking =pC3~-;3  
com.cic_prod.bad G"XVn~]  
com.cm_prod.bad ok4@N @  
com.fullsix.android.labanquepostale.accountaccess ]]wA[c~G  
com.groupama.toujoursla 9,r rQQD_  
com.lbp.peps xcf%KXJf6  
com.macif.mobile.application.android JC3m.)/  
com.ocito.cdn.activity.creditdunord a qc?pqM  
fr.axa.monaxa }I2@%tt?  
fr.banquepopulaire.cyberplus )6J9J+%bi  
fr.banquepopulaire.cyberplus.pro iS<I0\D  
fr.creditagricole.androidapp ;{" +g)u  
fr.lcl.android.customerarea IDG}ZlG  
fr.lemonway.groupama d|yAs5@  
mobi.societegenerale.mobile.lappli 2 FW \O0U  
net.bnpparibas.mescomptes jYhB +|  
`u&Zrdr,  
<"r#:Wr  
com.comarch.mobile F;<xnC{[  
com.getingroup.mobilebanking SK#(#OQoh  
com.konylabs.cbplpat <h'5cO  
eu.eleader.mobilebanking.pekao uPl\I6k  
eu.eleader.mobilebanking.raiffeisen t>$kWd{9e;  
pl.bzwbk.bzwbk24 jyZWV L:_  
pl.bzwbk.mobile.tab.bzwbk24 j_. 5r&w  
pl.eurobank :H wA 5Z#  
pl.ing.ingmobile _<OSqE  
pl.mbank 3S}Pm2D2  
pl.pkobp.iko lH6OcD:kj  
wit.android.bcpBankingApp.millenniumPL Kiu_JzD  
Evjj"h&0J  
u2?|Ue@[  
com.akbank.android.apps.akbank_direkt `I,,C,{C  
com.finansbank.mobile.cepsube h9G RI  
com.garanti.cepsubesi De(Hw& IV  
com.pozitron.iscep ?qWfup\S  
com.tmobtech.halkbank :dQ B R  
com.vakifbank.mobile 8Hn|cf0  
com.ykb.android K8UP,f2  
com.ziraat.ziraatmobil zp%Cr.)$  
>^*+iEe  
|~vI3]}fx  
ca.bnc.android ?1K#dC52#  
com.americanexpress.android.acctsvcs.us Nbi.\  
com.chase.sig.android &b%zQ4%d-`  
com.cibc.android.mobi O4V.11FnW  
com.citi.citimobile 75/(??2  
com.clairmail.fth )6D,d5<  
com.coinbase.android Wg<(ms dj  
com.creditkarma.mobile vRH d&0  
com.discoverfinancial.mobile L"4mL,  
com.fi9228.godough w"cZHm  
com.firstpremier.mypremiercreditcard F|e1"PkeoA  
com.infonow.bofa O\"3J(y,  
com.jpm.sig.android {_ i\f ]L  
com.moneybookers.skrillpayments 1Y7Eajt-5  
com.paybybank.westernunion K,:cJ  
com.paypal.android.p2pmobile &)AVzN+*h  
com.pnc.ecommerce.mobile eQp4|rf  
com.suntrust.mobilebanking #AL=f'2=f  
com.tdbank 0c<.iM  
com.td R|(q  
com.transferwise.android ;kS&A(  
com.unionbank.ecommerce.mobile.android `\#B18eU  
com.usaa.mobile.android.usaa |ZRagn30  
com.usb.cps.axol.usbc [d1mL JAR  
com.wf.wellsfargomobile QD:{U8YbF$  
me.doubledutch.rbccapitalmarkets y)W@{@{kl  
pEIRh1  
C1m]*}U  
劫持sdk<=22设备
S~;4*7+?:  
B"TAjB& *  
ZaV8qAsP  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
,y 2$cO_>  
获取sdk>22顶层包名
VcSVu  
XINu=N(g  
s'E2P[:  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
Rv$[)`&T  
T"E6y"D  
=u2l. CX  
ER5gmmVP@p  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
@|63K)Xy  
钓鱼界面
#Ssx!+q?  
|"/8XA  
提交用户输入
v/68*,z[  
K]s[5  
LcB]Xdsa(  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
F+ ,~v-  
4'`{H@]tb  
2jg-  
OWjk=u2Lz  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 P"y`A}Bx  
E9Np0M<  
=BSzsH7  
安全建议 544X1Ww2  
\>:CvTzF  
Z&1T  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 dJ2Hr;Lc  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 ryW'Z{+r'  
WQ[_hg|k  
z3&]%Q&  
------------------------------------------------------------------- DnCP aM4%  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
级别: 小白
发帖
17
云币
25
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个