阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 10036阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 \Oo Wo  
F"mmLao  
%z$#6?OK^  

G#$-1"!`  
背景 "r2 r   
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 vih9 KBT  
?q [T  
-:rUw$3J  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 T u'{&  
+w~oH=  
 0+8e,  
木马运行流程如下: #0<XNLM  
'c~4+o4co  
moE2G?R  
&M[?h}B6  
@}ZVtrz  
是否触发恶意代码 H;"4 C8K7  
2A!FDr~cdT  
,fRq5"?  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
oL<St$1  
dF2RH)Ud  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 {c0`Um3&>  
d"Y{UE  
t`QENXA}  
5LMw?P.<  
核心服务 :zR!/5  
F:ELPs4"  
W{aY}`  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
`$NP> %J-  
{GUF;V ^  
FgO)DQm  
下图上传木马运行环境
IGN1gs  
上传设备状态
$od7;%  
:hA#m[  
Q@HV- (A  
上传已安装银行app
0CvUc>Pj`"  
l;V173W=&  
L0]_X#s>#  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| jh$='Gn  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 }1xo-mUg,  
h7@6T+#WoT  
 S[QrS 7  
随后C&C端返回控制指令,指令解析如下。
C*lJrFpB  
d!{r  v  
/7LR;>Bj  
H']+L~j  
PRT +mT  
劫持分析 t:c.LFrF  
'm9` 12 H  
H:\k}*w  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 )CyS#j#=  
Qci]i)s$js  
bjS {(  
(I}v[W  
A(N4N  
另外的一些钓鱼界面。
+^<](z  
DeYV$W B  
;=UsAB]  
'3H_wd  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: Xx(T">]vJ  
at.bawag.mbanking l@:0e]8|o  
at.easybank.mbanking #89!'W  
at.spardat.netbanking } d }lR  
at.volksbank.volksbankmobile IIqUZJ  
com.rbs.mobile.android.rbs ~v"L!=~G;a  
com.isis_papyrus.raiffeisen_pay_eyewdg FCn_^l)EA  
=I~mKn  
bYPKh  
au.com.bankwest.mobile 3[f): u3"  
au.com.ingdirect.android 4Z,!zFS$`  
au.com.nab.mobile  f V(J|  
com.commbank.netbank b_):MQ1{  
org.banksa.bank cFWc<55aX6  
org.stgeorge.bank Hq 188<  
org.westpac.bank \^%}M!tan  
C'X!\}f.b/  
V2G6Kw9gt  
com.db.mm.deutschebank 1!gbTeVlY  
com.barclays.android.barclaysmobilebanking 1'\/,Es  
com.starfinanz.mobile.android.dkbpushtan 6JQ'Ik;$wX  
com.starfinanz.smob.android.sbanking &8 x-o,  
com.starfinanz.smob.android.sfinanzstatus \'bzt"f$j  
de.adesso.mobile.android.gad -D$8  
de.comdirect.android "w.3Q96r  
de.commerzbanking.mobil 3%ZOKb"D*  
de.consorsbank _ORvo{[:  
de.dkb.portalapp nj53G67y  
de.fiducia.smartphone.android.banking.vr 8ITdSg  
de.ing_diba.kontostand .VzT:4-<Q"  
de.postbank.finanzassistent e)O 4^#i  
mobile.santander.de # 4PVVu<  
:[!j?)%>  
zI<<Q2  
com.IngDirectAndroid 'X2POay1  
com.arkea.android.application.cmb hfy_3}_  
com.arkea.android.application.cmso2 ,nB5/Lx  
com.boursorama.android.clients Oo% d]8W  
com.cacf.MonCACF [1 9,&]z  
com.caisseepargne.android.mobilebanking /RC7"QzL  
com.cic_prod.bad q#=(e:aCb  
com.cm_prod.bad 4Wm@W E  
com.fullsix.android.labanquepostale.accountaccess 7VFLJr t  
com.groupama.toujoursla p"ZG%Ow5Q]  
com.lbp.peps MFAH%Z$  
com.macif.mobile.application.android .=jay{  
com.ocito.cdn.activity.creditdunord kq,ucU%>p  
fr.axa.monaxa nK%LRcAs  
fr.banquepopulaire.cyberplus W]5w \  
fr.banquepopulaire.cyberplus.pro _t #k,;  
fr.creditagricole.androidapp <3C*Z"aQ>|  
fr.lcl.android.customerarea |2n4QBH!  
fr.lemonway.groupama >e[i5  
mobi.societegenerale.mobile.lappli <;Zmjeb+#  
net.bnpparibas.mescomptes T <ET )D7  
Q|?L*Pq2I  
oEKvl3Hz_  
com.comarch.mobile >_"an~Ss  
com.getingroup.mobilebanking S2VA{9:m  
com.konylabs.cbplpat X=fYWj[H,  
eu.eleader.mobilebanking.pekao +Kbjzh3<wG  
eu.eleader.mobilebanking.raiffeisen F%D.zvKN  
pl.bzwbk.bzwbk24 ")XHak.JX  
pl.bzwbk.mobile.tab.bzwbk24 54R#W:t  
pl.eurobank iN8zo:&Z  
pl.ing.ingmobile Lhb35;\  
pl.mbank Cl8Cg~2  
pl.pkobp.iko UIN<2F_  
wit.android.bcpBankingApp.millenniumPL !/i{l  
N.{H,oO `  
JL}_72gs  
com.akbank.android.apps.akbank_direkt Y;^l%ePuW  
com.finansbank.mobile.cepsube }"%?et(  
com.garanti.cepsubesi !1 H# 6  
com.pozitron.iscep ryUQU^v  
com.tmobtech.halkbank peuZ&yK+"  
com.vakifbank.mobile V/ uP%'cd  
com.ykb.android " h~Z u  
com.ziraat.ziraatmobil >T3-  
l=)xo@6  
, I (d6  
ca.bnc.android gANuBWh8T  
com.americanexpress.android.acctsvcs.us O6a<`]F  
com.chase.sig.android j<jN05p  
com.cibc.android.mobi Wk4s reB  
com.citi.citimobile dx{bB%?Y\=  
com.clairmail.fth (G4at2YLd  
com.coinbase.android O{G?;H$  
com.creditkarma.mobile ju8q?Nyhs  
com.discoverfinancial.mobile A_ N;   
com.fi9228.godough Fk*7;OuZl  
com.firstpremier.mypremiercreditcard u4F5h PO]  
com.infonow.bofa -)]Yr #Q  
com.jpm.sig.android #crQ1p) \  
com.moneybookers.skrillpayments D] jz A x  
com.paybybank.westernunion 2 %@4]  
com.paypal.android.p2pmobile 8\ +T8(m  
com.pnc.ecommerce.mobile )c83/= <v  
com.suntrust.mobilebanking %.Fi4}+O  
com.tdbank H*&f:mfq  
com.td st3l2Q  
com.transferwise.android 2"kLdD  
com.unionbank.ecommerce.mobile.android nE&@Q  
com.usaa.mobile.android.usaa ?U5{Wa85D  
com.usb.cps.axol.usbc ^ H ThN  
com.wf.wellsfargomobile THbh%)Zv+  
me.doubledutch.rbccapitalmarkets }=UHbU.n~!  
W*4-.*U8a  
.TMs bZ|j  
劫持sdk<=22设备
R{3N&C  
KL:j?.0  
{M$1N5Eh  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
`H_3Uc  
获取sdk>22顶层包名
D>@I+4{p  
 |`f$tj  
7 60Y$/Wz  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
#*uL)2nR  
k\YG^I  
5C*Pd Wpl  
!t %j?\f  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
trA4R/ &  
钓鱼界面
;| 5F[  
}DE g-j,F  
提交用户输入
ygS;$2m%2  
<#y[gTJ<'>  
gQelD6c  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
%lx!. G  
ZW8vza  
v ~?qz5:K~  
D|L9Vs`  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 Nw/  ku  
"f2$w  
9y8&9<#  
安全建议 qQ/^@3tXL  
4 Y9`IgQ  
]G= L=D^cK  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 V)-+Fd,=  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 v0+BkfU+p  
D~fl JR  
gNrjo=  
------------------------------------------------------------------- KHu+9eX  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 60 + 9 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)