阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 6544阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 4@ai6,<  
YT(AUS5n  
|Z +=  

m!HJj>GEo  
背景 P\k# >}}  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 c\AfaK^KF  
[ v*ju!  
[Z$[rOF  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 o&$A]ph8X  
wI/iuc  
H9e<v4 c  
木马运行流程如下: 11;MN  
+52{-a,>  
U # qK.  
YUk\Q%  
%1+4_g9  
是否触发恶意代码 ~Z' ?LV<t  
/mzlH  
EXqE~afm2  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
l+^*LqEW2  
u]UOSfn  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 .%  
M9%$lCl   
/cP"h!P}~~  
`e}B2;$A3  
核心服务 a9V,es"BWQ  
QoT;WM Z  
d8P^lv*rQW  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
AFwdJte9e  
%d9uTm;  
R.<g3"Lm>  
下图上传木马运行环境
e$Pj.>-<=  
上传设备状态
f]sr RYSR  
~((O8@}J  
sK?twg;D*|  
上传已安装银行app
inp7K41  
& wDs6xq  
<lJ345Q  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| $VOF Oc  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。  _;\_l  
ysnx3(+|  
J\=*#*rJ1  
随后C&C端返回控制指令,指令解析如下。
&s>Jb?_5Mx  
h^P#{W!e\  
{Ou1KDy#)  
Q\sK"~@3  
Xne1gms  
劫持分析 6[AL|d DK  
qwAT>4  
!^G\9"4A  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 ,zY{  
-M#Wt`6A  
C\hM =%  
(A.C]hD  
M&M 6;Ph  
另外的一些钓鱼界面。
|CbikE}kL  
+:/%3}`  
vtJJ#8a]  
% |L=l{g  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: -yNlyHv9  
at.bawag.mbanking MomwX  
at.easybank.mbanking 86a\+Kz%%L  
at.spardat.netbanking K3l95he  
at.volksbank.volksbankmobile V>3X\)qu  
com.rbs.mobile.android.rbs #,'kXj  
com.isis_papyrus.raiffeisen_pay_eyewdg E92-^YY  
:.`2^  
[mueZQyI?0  
au.com.bankwest.mobile ZSo)  
au.com.ingdirect.android >+T)#.wo&  
au.com.nab.mobile 3o/[t  
com.commbank.netbank dqcL]e  
org.banksa.bank 8H`[*|{'  
org.stgeorge.bank MiX43Pk]  
org.westpac.bank RT8 ?7xFc  
w&.a QGR#  
+aAc9'k   
com.db.mm.deutschebank _)iCa3z  
com.barclays.android.barclaysmobilebanking tX~w{|k  
com.starfinanz.mobile.android.dkbpushtan (**oRwr%  
com.starfinanz.smob.android.sbanking JK] PRDyD  
com.starfinanz.smob.android.sfinanzstatus sa8Vvzvo.  
de.adesso.mobile.android.gad ]/{)bpu  
de.comdirect.android o5)<$P43  
de.commerzbanking.mobil I( Mm?9F  
de.consorsbank 8RHUeRX  
de.dkb.portalapp Wa~=bH  
de.fiducia.smartphone.android.banking.vr 1xx}~|F?|  
de.ing_diba.kontostand 4mbBmQV$#  
de.postbank.finanzassistent *yGGBqd  
mobile.santander.de \ 6MCxh6  
Ws12b $  
YchH~m|  
com.IngDirectAndroid 4 H&#q>  
com.arkea.android.application.cmb JsS-n'gF'  
com.arkea.android.application.cmso2 x|29L7i  
com.boursorama.android.clients &,)&%Sg[  
com.cacf.MonCACF $Z>'Jp  
com.caisseepargne.android.mobilebanking O.JN ENZf  
com.cic_prod.bad DIUjn;>k8  
com.cm_prod.bad VG~Vs@c(  
com.fullsix.android.labanquepostale.accountaccess Zgb!E]V[  
com.groupama.toujoursla ^/k*h J{  
com.lbp.peps A_UjC`  
com.macif.mobile.application.android iam1V)V  
com.ocito.cdn.activity.creditdunord I*^Ta{j[  
fr.axa.monaxa H%lVl8oQ  
fr.banquepopulaire.cyberplus Xlt|nX~#;  
fr.banquepopulaire.cyberplus.pro %N_%JK\{@  
fr.creditagricole.androidapp x$(f7?s] 1  
fr.lcl.android.customerarea ] }X  
fr.lemonway.groupama a-J.B.A$Z/  
mobi.societegenerale.mobile.lappli _Bj":rzY  
net.bnpparibas.mescomptes ]J]h#ZHx  
HkVB80hv  
r,2g^ K)6  
com.comarch.mobile Uoix  
com.getingroup.mobilebanking f`66h M[  
com.konylabs.cbplpat H" 7u7l  
eu.eleader.mobilebanking.pekao [opGZ`>)j"  
eu.eleader.mobilebanking.raiffeisen 0C ,`h `  
pl.bzwbk.bzwbk24 a"u0Q5J  
pl.bzwbk.mobile.tab.bzwbk24 [=`q>|;pOv  
pl.eurobank )Xyn q(  
pl.ing.ingmobile ZSm3XXk  
pl.mbank )}O8?d`  
pl.pkobp.iko *}W_+qo"  
wit.android.bcpBankingApp.millenniumPL sW8dPw O  
Rbv;?'O$L  
C+&l< fM&  
com.akbank.android.apps.akbank_direkt ]')RMg zM*  
com.finansbank.mobile.cepsube [z9Z5sLO  
com.garanti.cepsubesi lU8Hd|@-  
com.pozitron.iscep ENY+^7  
com.tmobtech.halkbank 3"\lu?-E  
com.vakifbank.mobile x'R`. !g3  
com.ykb.android Dv`c<+q(#  
com.ziraat.ziraatmobil )wh A<lC  
E8&TO~"a]e  
@7n"yp*"  
ca.bnc.android X!g#T9kG  
com.americanexpress.android.acctsvcs.us {.mngRQF  
com.chase.sig.android ~61v5@  
com.cibc.android.mobi J5jvouR  
com.citi.citimobile r]36z X v  
com.clairmail.fth UW EV^ &"x  
com.coinbase.android u> 7=AlWF-  
com.creditkarma.mobile iAU@Yg`pt  
com.discoverfinancial.mobile Mf``_=K  
com.fi9228.godough *4Y V v  
com.firstpremier.mypremiercreditcard 0{R=9wcc  
com.infonow.bofa sD wqH.L  
com.jpm.sig.android 2jhxQL  
com.moneybookers.skrillpayments AYx{U?0p  
com.paybybank.westernunion VW4r{&rS  
com.paypal.android.p2pmobile cExS7~*  
com.pnc.ecommerce.mobile q'8 2qY  
com.suntrust.mobilebanking !C: $?oU  
com.tdbank =rX>.P%Q5  
com.td V "h +L7T  
com.transferwise.android L;I]OC^J  
com.unionbank.ecommerce.mobile.android Q'0d~6n&{  
com.usaa.mobile.android.usaa | %Vh`HT  
com.usb.cps.axol.usbc ?5 7Sk+  
com.wf.wellsfargomobile w`zTR0`  
me.doubledutch.rbccapitalmarkets tZG:Pr1U@  
HA>OkA/  
/I0%Z+`=  
劫持sdk<=22设备
]?[fsdAQW  
)Z9>$V$j  
}9fTF:P  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
)hfpwdQ  
获取sdk>22顶层包名
s!7y  
Y/zj[>  
N//K Ph  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
y_lU=(%Jd  
TbW38\>.R  
U\*J9  
g7W"  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
V33T+P~j  
钓鱼界面
$ gS>FJ  
E09 :E  
提交用户输入
G*P#]eO  
kL"2=7m;  
N5b!.B x-w  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
DN57p!z  
]-/VHh  
j HJ`,#  
8c^TT&  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 xYpd: Sm  
Qjv}$`M  
]|P iF+  
安全建议 n]o<S+z  
Cd}<a?m,  
CdjI`  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 .jjG(L  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 *mvlb (' &  
8>i n_h9  
[j/9neaye  
------------------------------------------------------------------- z/@slT  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 85 - 36 = ?
上一个 下一个