阿里云
订阅广场
发表主题 回复主题
  • 2963阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
371
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 j)ME%17  
s<>d& W 0=  
A^ofs*"Y  

7Q^p|;~a  
背景 qxB|*P `  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 $J8g)cS  
GQ(*k)'a  
Vy=P*  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 FI,K 0sO/|  
5^D094J|^  
,eGguNA9  
木马运行流程如下: +T\<oj%}2  
Fr~\ZL  
-Ew>3Q  
>AFQm  
C$p012D1  
是否触发恶意代码 qt(4?_J  
k%3)J"|/  
inY_cn?  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
D6~KLSKm  
egK~w8`W%  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 (gnN </%  
Gphy8~eS  
c2t`i  
 v%$l(  
核心服务 _&~l,%)&  
eL>wKu:r  
\q?^DI:`   
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
vf zC2  
t{g@z3  
*^%+PQ  
下图上传木马运行环境
&\I<j\F2/  
上传设备状态
& #JYh=#  
Mq#m;v$E  
9Nps<+K  
上传已安装银行app
5kGQf  
^^&H:q  
>|, <9z`D  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| )H@<A93  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 V@]SKbK}wN  
X&HYWH'@,  
T_!F I29  
随后C&C端返回控制指令,指令解析如下。
Oe x   
4evNZ Q  
A1F$//a  
Gk+R, :  
VH4wsEH]  
劫持分析 SOE-Kio=B  
V,=5}qozQ  
<p CD>  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 _h4]gZ  
akk*f+TD`  
 ZB |s/  
`k>C%6FG$#  
BriL ^]  
另外的一些钓鱼界面。
WY QVe_<z:  
ZQym8iV/  
|=v,^uo  
c~/poFj  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: S"@6,  
at.bawag.mbanking A(uo%QE|  
at.easybank.mbanking 4"Qb^y  
at.spardat.netbanking *;McX  
at.volksbank.volksbankmobile 0[fBP\H"Wr  
com.rbs.mobile.android.rbs %QrOEs  
com.isis_papyrus.raiffeisen_pay_eyewdg 4YI6&  
l%('5oz@\  
5D=U.UdR  
au.com.bankwest.mobile w8~R=k  
au.com.ingdirect.android S&-F(#CF^  
au.com.nab.mobile ;nL7Hizo,  
com.commbank.netbank j@#RfVx  
org.banksa.bank 1u5^a^O(|  
org.stgeorge.bank 901 5PEO  
org.westpac.bank nh0gT>a>@  
p5OoDo  
5(\/ b<#  
com.db.mm.deutschebank pg!oi?Jn  
com.barclays.android.barclaysmobilebanking k<j]b^jbz  
com.starfinanz.mobile.android.dkbpushtan )Ghw!m  
com.starfinanz.smob.android.sbanking qhG2j;  
com.starfinanz.smob.android.sfinanzstatus 4 ;)t\9cy_  
de.adesso.mobile.android.gad ^8bc<c:P  
de.comdirect.android >EA\KrjW  
de.commerzbanking.mobil M6quPj  
de.consorsbank P.Cn[64a+@  
de.dkb.portalapp w;(=w N\  
de.fiducia.smartphone.android.banking.vr ollVg/z  
de.ing_diba.kontostand <Piq?&VX[  
de.postbank.finanzassistent \(=xc2  
mobile.santander.de :6%ivS  
hT_Q_1,  
ge%QbU1J  
com.IngDirectAndroid ~*\ *8U@7  
com.arkea.android.application.cmb 4JXvP1`  
com.arkea.android.application.cmso2 P0_Ymn=&  
com.boursorama.android.clients ts_|7Ev  
com.cacf.MonCACF Khv}q.)F  
com.caisseepargne.android.mobilebanking {,6J*v"o  
com.cic_prod.bad thX4-'i  
com.cm_prod.bad k#~oagW_Gw  
com.fullsix.android.labanquepostale.accountaccess #PPHxh*S  
com.groupama.toujoursla _I3"35a  
com.lbp.peps O[L#|_BnEO  
com.macif.mobile.application.android y4 ]5z/  
com.ocito.cdn.activity.creditdunord Y=_*Ai  
fr.axa.monaxa b KIL@AI  
fr.banquepopulaire.cyberplus @}wa Z?'  
fr.banquepopulaire.cyberplus.pro Ma(Q~G .  
fr.creditagricole.androidapp yA*U^:%  
fr.lcl.android.customerarea Wlq3r#  
fr.lemonway.groupama Btr>ek  
mobi.societegenerale.mobile.lappli JV4fL~  
net.bnpparibas.mescomptes |%#NA!e4wA  
l= Jw6F+5  
/[/{m]  
com.comarch.mobile S9nn^vsK  
com.getingroup.mobilebanking u#y)+A2&!  
com.konylabs.cbplpat r58<A'#  
eu.eleader.mobilebanking.pekao i PG:w+G  
eu.eleader.mobilebanking.raiffeisen Fo%`X[?  
pl.bzwbk.bzwbk24 eLgq )  
pl.bzwbk.mobile.tab.bzwbk24 R^$EnrY(<  
pl.eurobank j` * bz-  
pl.ing.ingmobile ?|}qT05  
pl.mbank <}c7E3Uc  
pl.pkobp.iko vd$>nJ"  
wit.android.bcpBankingApp.millenniumPL luac  
2~ETu&R:  
VQ2'a/s  
com.akbank.android.apps.akbank_direkt z?kE((Ey  
com.finansbank.mobile.cepsube W >}T$a}\  
com.garanti.cepsubesi \h0+` ;Q  
com.pozitron.iscep 7(C)vtEO:  
com.tmobtech.halkbank kVt/Hhd9  
com.vakifbank.mobile Z0'LD<  
com.ykb.android :ec>[N~KG  
com.ziraat.ziraatmobil O*]}0*CT  
gVJh@]8)  
>f-RzQ k  
ca.bnc.android $3ZQ|X[|+  
com.americanexpress.android.acctsvcs.us {9j0k`A  
com.chase.sig.android /M3;~sx  
com.cibc.android.mobi (sH4 T>  
com.citi.citimobile UMFM.GI  
com.clairmail.fth 87)/dHc  
com.coinbase.android Ro<5c_k  
com.creditkarma.mobile R6z *!W{  
com.discoverfinancial.mobile xH,e$t#@@~  
com.fi9228.godough Kg /,  
com.firstpremier.mypremiercreditcard %X%f0J  
com.infonow.bofa o~4kJW #  
com.jpm.sig.android Q4S:/"*v8  
com.moneybookers.skrillpayments vtK.7AF  
com.paybybank.westernunion Wap\J7NY  
com.paypal.android.p2pmobile P-yVc2YH  
com.pnc.ecommerce.mobile R@>^t4#_Q0  
com.suntrust.mobilebanking YT)1_>*\  
com.tdbank XI`s M~'  
com.td KRP6b:+4L  
com.transferwise.android #BH]`A J  
com.unionbank.ecommerce.mobile.android *Csxf[O  
com.usaa.mobile.android.usaa qzZ;{>_f  
com.usb.cps.axol.usbc  ggfCfn  
com.wf.wellsfargomobile =t~]@?]1D  
me.doubledutch.rbccapitalmarkets v=&xiwz}  
KxFA@3  
]a*26AbU+  
劫持sdk<=22设备
[3tU0BU"  
C9FAX$$^(Y  
or7l} X  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
oJE<}~_k  
获取sdk>22顶层包名
n#4T o;CS  
*rV{(%\m  
{8%KO1xB  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
4>B=k  
=dWq B&  
Gsm.a  
9 "M-nH*<  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
.+lx}#-#  
钓鱼界面
Dj0D.}`~  
QV#HN"F/K  
提交用户输入
T7Ju7_q}  
4O{,oN~7  
l @E {K|  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
x4?g>v*J  
C_h$$G{S(  
\r3SvBwhFv  
xxC2 h3  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 wkJ@#jD*[  
sv6m)pwh  
w,<n5dMv  
安全建议 N{a=CaYi+  
v++&%  
pqohLA  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 xd4~[n\hm  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 <(45(6fQ  
fUq #mkq}  
mWMtz]M}  
------------------------------------------------------------------- m:9|5W  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 3 + 30 = ?
上一个 下一个