阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9394阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 #F~^m  
Y>l92=G  
<PayP3E  

`c )//o  
背景 N;A#K 7A[@  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 F ^mMyK  
`]q>A']Dl  
!B#Lea  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 9AGf4tuy  
q|N/vkqPz  
>n^| eAH  
木马运行流程如下: yL#bZ9W }  
av.L%l&d  
E<|p9,M  
x^J}]5{0  
ycr\vn t  
是否触发恶意代码 e9 `n@  
n.a55uy  
A{3?G -]*  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
!RJuH;8  
x<S?"  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 0)?.rthk4S  
jYv`kt  
zh<[ /'l  
;Rz+4<  
核心服务 etPb^&#$  
Tr} r` %  
k70o=}  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
"|\G[xLOaW  
[YsN c  
is2OJ,  
下图上传木马运行环境
JS&=V 67[  
上传设备状态
O7MFKAaD  
QNk\y@yKw  
-j6&W`  
上传已安装银行app
%s^2m"ca}=  
?0U.1N  
3%g\)Cs  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| :dZq!1~t  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 ";&5@H|  
*G<K@k  
?dJ[? <aG  
随后C&C端返回控制指令,指令解析如下。
y" (-O%Pe  
<vP{U  
@F+zME   
c%5G3j  
#`1@4,iC  
劫持分析 E&}@P0^  
DvBL #iC   
 <|Pw*L$  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 * mzJ)4A  
SnK#YQCDt  
aCq ) hR  
cVx#dDdA  
lji&]^1  
另外的一些钓鱼界面。
8BL ]]gT-I  
P)>`^wc$  
yX%Xjo__*t  
^1#"FU2cP  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: XIgGE)n  
at.bawag.mbanking Znv3h  
at.easybank.mbanking oVG/[e|c'  
at.spardat.netbanking 0/1Ay{ns  
at.volksbank.volksbankmobile |>/T*zk<  
com.rbs.mobile.android.rbs ~^<ju6O'  
com.isis_papyrus.raiffeisen_pay_eyewdg {0&'XA=j  
n<}t\<LG^c  
(?G?9M#7_  
au.com.bankwest.mobile =JqKdLH  
au.com.ingdirect.android cc*xHv^  
au.com.nab.mobile F8c^M</  
com.commbank.netbank NrHh(:  
org.banksa.bank o=&tT,z  
org.stgeorge.bank 4RLuv?,)~  
org.westpac.bank $.7Ov|  
(M>[D!Yt  
*!~jHy8F  
com.db.mm.deutschebank Y(qyuS3h~*  
com.barclays.android.barclaysmobilebanking qu}&4_`%:V  
com.starfinanz.mobile.android.dkbpushtan ?hz9]I/8  
com.starfinanz.smob.android.sbanking L.cGt"{  
com.starfinanz.smob.android.sfinanzstatus zqDG#}3f^  
de.adesso.mobile.android.gad LW"p/`#<  
de.comdirect.android ,KfBG<3   
de.commerzbanking.mobil #o(c=  
de.consorsbank aUqVcEU1  
de.dkb.portalapp 3I" <\M4x  
de.fiducia.smartphone.android.banking.vr i*T>, z  
de.ing_diba.kontostand b?=>)':f  
de.postbank.finanzassistent @(~ m.p|  
mobile.santander.de ;RmL'  
XOdkfmc+s'  
~O;'],#Co  
com.IngDirectAndroid JdP[ cN  
com.arkea.android.application.cmb Hq>"rrVhx  
com.arkea.android.application.cmso2 cAL*Md8+  
com.boursorama.android.clients |t1ij'N  
com.cacf.MonCACF N ?RJuDW  
com.caisseepargne.android.mobilebanking Q#,j,h  
com.cic_prod.bad  Uu<Tn#nb  
com.cm_prod.bad A#WvN>  
com.fullsix.android.labanquepostale.accountaccess m^9[k,;K  
com.groupama.toujoursla )=PmHUd  
com.lbp.peps U,Duq^l~s  
com.macif.mobile.application.android [h3y8O  
com.ocito.cdn.activity.creditdunord ?)60JWOJ1  
fr.axa.monaxa ](z?zDk  
fr.banquepopulaire.cyberplus I1TzPe  
fr.banquepopulaire.cyberplus.pro gmU0/z3&  
fr.creditagricole.androidapp #Is/j =  
fr.lcl.android.customerarea 4;_<CB  
fr.lemonway.groupama c^$+=-G{fd  
mobi.societegenerale.mobile.lappli f"wm]Q59  
net.bnpparibas.mescomptes n*HRGJ  
EE^ N01<"\  
)]^xy&:|  
com.comarch.mobile og! d  
com.getingroup.mobilebanking jW?siQO^  
com.konylabs.cbplpat v)TFpV6b{p  
eu.eleader.mobilebanking.pekao l5}b.B^w  
eu.eleader.mobilebanking.raiffeisen 5GwXZ;(G  
pl.bzwbk.bzwbk24 |PI]v`[  
pl.bzwbk.mobile.tab.bzwbk24 ]Q%|69H}B  
pl.eurobank `2j \(N,  
pl.ing.ingmobile n1Y3b~E?E  
pl.mbank L&i_  
pl.pkobp.iko K?4/x4p@  
wit.android.bcpBankingApp.millenniumPL -d|VXD5N  
H"_]Hq  
wl*"Vagb  
com.akbank.android.apps.akbank_direkt Tt0:rQ.  
com.finansbank.mobile.cepsube T.=du$  
com.garanti.cepsubesi ]{[8$|Mg  
com.pozitron.iscep 6L2Si4OGjG  
com.tmobtech.halkbank e^Ds|}{V  
com.vakifbank.mobile P@u&~RN9f+  
com.ykb.android =t+{ )d.w  
com.ziraat.ziraatmobil ^w+jPT-n  
%o~w  
ddR_+B*H  
ca.bnc.android N'#Lb0`B  
com.americanexpress.android.acctsvcs.us T@GR Tg  
com.chase.sig.android e|L$e0  
com.cibc.android.mobi UacGq,  
com.citi.citimobile owA0I'|V-A  
com.clairmail.fth /$IF!q+C  
com.coinbase.android +18)e;   
com.creditkarma.mobile <Wn"_Ud=  
com.discoverfinancial.mobile )6S;w7  
com.fi9228.godough x bG'![OX  
com.firstpremier.mypremiercreditcard A0NNB%4|/  
com.infonow.bofa $ljgFmR_  
com.jpm.sig.android "hRY+{m  
com.moneybookers.skrillpayments =,aWO7Pz  
com.paybybank.westernunion doCWJ   
com.paypal.android.p2pmobile ! ~' \Ey  
com.pnc.ecommerce.mobile !n=@(bT*wT  
com.suntrust.mobilebanking /mB'Fn6)  
com.tdbank bw@Dc T&,  
com.td /S]W< 8d  
com.transferwise.android u5f+%!p  
com.unionbank.ecommerce.mobile.android mGQgy[gX  
com.usaa.mobile.android.usaa @G vDl=.  
com.usb.cps.axol.usbc AUloP?24  
com.wf.wellsfargomobile (8!#<$  
me.doubledutch.rbccapitalmarkets #\+ TKK  
(% fl  
Nk-biD/J  
劫持sdk<=22设备
]Q\Ogfjp  
#5?Q{ORN o  
Nxu 10  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
2a;vLc4  
获取sdk>22顶层包名
4#5w^  
WgdL^PN(h  
>'i d/  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
fhu- YYJt  
(~oUd 4  
%h** L'~``  
/EUv=89{!  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
XA~Rn>7&H  
钓鱼界面
'0|AtO77  
d"nz/$  
提交用户输入
@GGzah#  
u93=>S  
ce{GpmW  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
L<>;E  
\#5t%t  
,ZcW+!  
Y[gj2vNe4g  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 p6[a"~y  
omM*h{z$$  
eI?<*  
安全建议 m?-3j65z  
rE"`q1b#  
=:a H2T*  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 S .rT5A[  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 GzK{. xf  
?7@Y=7BS4  
QP|Ou*Qm)  
------------------------------------------------------------------- SMaC{RPQ  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)