阿里云
服务器地域选择
发表主题 回复主题
  • 1722阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
103
云币
361
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 heF'7ezv#  
S%p,.0_  
#d8]cm=  

~i-n_7+  
背景 tklS=R^Vn  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 j; /@A lZl  
(|W6p%(  
&}gH!5L m  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 2P57C;N8|  
+L?;g pVE&  
l7ES*==&@0  
木马运行流程如下: fNr*\=$  
eJOo~HIWQ  
t2ui9:g4j  
'e))i#/VF  
q+YK NXI  
是否触发恶意代码 Wi)N/^;n  
l5e`m^GK  
p<a~L~xH6  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
ohXbA9&(x  
+],2smd@N  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 1 xrmmK  
bxz6 >>  
ng2yZ @$  
P`hg*"<V  
核心服务 +/*A}!#v  
XK l3B=h  
kJXy )  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
53 ^1;  
/i~n**HeF?  
h1_KZ[X  
下图上传木马运行环境
eR1]<Z$W\  
上传设备状态
]kkH|b$[T  
+>h'^/rAE  
1K$8F ~%Z  
上传已安装银行app
vn5]+-I  
[k +fkr]  
zQ eXN7$  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| Yv;18j*<  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 l< |)LD q~  
$VE=sS.  
8J7<7Sx  
随后C&C端返回控制指令,指令解析如下。
T xwZ3E  
R75np^  
;fDs9=3#  
zw X 1&rN  
n47v5.Wn  
劫持分析 &@D,|kHk  
<N;HB&mr  
l7JY`x  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 q:v&wb%  
*FUbKr0  
j1,ir  
aTY\mKk  
*9Nq^+  
另外的一些钓鱼界面。
6d3-GMUQ  
:u53zX[v  
-d 6B;I<'  
p[%FH?  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: Cc,,e`  
at.bawag.mbanking F\;G'dm  
at.easybank.mbanking `H6kC$^Ofx  
at.spardat.netbanking DrB PC@^  
at.volksbank.volksbankmobile "M.vu}~>  
com.rbs.mobile.android.rbs Bq]eNq  
com.isis_papyrus.raiffeisen_pay_eyewdg M1T)e9k=x  
jsG epi9  
anTS8b   
au.com.bankwest.mobile V}kZowWD  
au.com.ingdirect.android x;Jy-hMNl  
au.com.nab.mobile xeX Pc7JG  
com.commbank.netbank .5zqpm  
org.banksa.bank \Z^YaKj&  
org.stgeorge.bank eZm,K'/!  
org.westpac.bank F\Gi;6a  
ZLJfSnB  
f6ad@2  
com.db.mm.deutschebank 8I'c83w  
com.barclays.android.barclaysmobilebanking t .&YD x  
com.starfinanz.mobile.android.dkbpushtan afcI5w;>}  
com.starfinanz.smob.android.sbanking c?{&=,u2  
com.starfinanz.smob.android.sfinanzstatus /bj D*rj  
de.adesso.mobile.android.gad a 8Jn.!  
de.comdirect.android ^[SQw)*  
de.commerzbanking.mobil ;_GS<[A3  
de.consorsbank Wej8YF@  
de.dkb.portalapp <$LVAy"RD  
de.fiducia.smartphone.android.banking.vr !K#Q[Ee  
de.ing_diba.kontostand !PI& y  
de.postbank.finanzassistent ?1Lzbou  
mobile.santander.de bBBW7',[a  
fYR*B0tu  
|>(;gr/5(  
com.IngDirectAndroid :;S]jNy}j)  
com.arkea.android.application.cmb y8uB>z+#+;  
com.arkea.android.application.cmso2 (7G5y7wI"  
com.boursorama.android.clients s('<ms  
com.cacf.MonCACF `g&<7~\=A  
com.caisseepargne.android.mobilebanking (5] |Kcp|  
com.cic_prod.bad VQO6!ToKY  
com.cm_prod.bad V^WR(Q}  
com.fullsix.android.labanquepostale.accountaccess %l!Gt"\xm  
com.groupama.toujoursla 7yLO<o?9w  
com.lbp.peps _4VF>#b  
com.macif.mobile.application.android gN|[n.W4  
com.ocito.cdn.activity.creditdunord 1CFTQB>  
fr.axa.monaxa p=vu<xXtD  
fr.banquepopulaire.cyberplus Q<.84 7 )  
fr.banquepopulaire.cyberplus.pro #wL}4VN  
fr.creditagricole.androidapp #y }{ 'rF?  
fr.lcl.android.customerarea 1-4iy_d  
fr.lemonway.groupama 7RQ.oee  
mobi.societegenerale.mobile.lappli vq|o}6Et  
net.bnpparibas.mescomptes YoV^Y&:9<  
p}%T`e=Z9  
I6d4<#Q@L  
com.comarch.mobile g z-X4A"  
com.getingroup.mobilebanking g/&`NlD  
com.konylabs.cbplpat C~IsYdln  
eu.eleader.mobilebanking.pekao '`$z!rA  
eu.eleader.mobilebanking.raiffeisen vs-%J 6}G  
pl.bzwbk.bzwbk24 m?I$XAE  
pl.bzwbk.mobile.tab.bzwbk24 }=CL/JHz  
pl.eurobank 1'wwwxe7  
pl.ing.ingmobile 5|>FM&  
pl.mbank M}|<# i7u  
pl.pkobp.iko v|:2U8YREf  
wit.android.bcpBankingApp.millenniumPL dGf:0xE"  
*5'U3py  
^a&-GhX;  
com.akbank.android.apps.akbank_direkt >CtT_yhx  
com.finansbank.mobile.cepsube R#OVJ(#  
com.garanti.cepsubesi ^s z4-+>  
com.pozitron.iscep $xRZU9+  
com.tmobtech.halkbank ,f ..46G  
com.vakifbank.mobile d7 )&Z:  
com.ykb.android $e66jV  
com.ziraat.ziraatmobil 0'T*l 2Z`2  
acd8?>%[  
=\;yxl  
ca.bnc.android *k)v#;B  
com.americanexpress.android.acctsvcs.us * 7: )k  
com.chase.sig.android R%)ZhG*  
com.cibc.android.mobi CG!/Lbd  
com.citi.citimobile 6(1xU\x  
com.clairmail.fth o4I&?d7;"  
com.coinbase.android KLqn`m`O;  
com.creditkarma.mobile !vNZ- }  
com.discoverfinancial.mobile x8H%88!j*  
com.fi9228.godough ,})x1y  
com.firstpremier.mypremiercreditcard .I%p0ds1r  
com.infonow.bofa -:92<G\D  
com.jpm.sig.android TG ,T>'   
com.moneybookers.skrillpayments VO"f=gFg  
com.paybybank.westernunion L@> +iZSO  
com.paypal.android.p2pmobile =/xTUI4  
com.pnc.ecommerce.mobile _2*Ryz  
com.suntrust.mobilebanking @.T w*t  
com.tdbank 2p3ep,  
com.td <YU+W"jQT  
com.transferwise.android 6n9;t\'Gt  
com.unionbank.ecommerce.mobile.android \Kh@P*7  
com.usaa.mobile.android.usaa ISo{>@a-  
com.usb.cps.axol.usbc =*f>vrme  
com.wf.wellsfargomobile sDV*k4  
me.doubledutch.rbccapitalmarkets v/%q*6@  
2I!STP{!l  
xgl~4  
劫持sdk<=22设备
C:C9swik"5  
W`zY\]  
rSTc4m1R  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
)u{)"m`&[J  
获取sdk>22顶层包名
![O@{/  
lNV%R(  
VKa-  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
}hT1@I   
Bsm>^zZ`YU  
@d5G\1(%  
IT \Pj_  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
!6:q#B*  
钓鱼界面
!X 3/2KRP7  
 .*H0{  
提交用户输入
r30t`o12i  
'TPRGX~&  
<&'Ye[k  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
R#Z1+&='  
 )]2yTG[  
51oZ w%os=  
MxiU-  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 gI A{6,A  
1XZ|}Xz  
bTzVmqGY  
安全建议 /*GRE#7S  
<DS+"#  
e=t?mDh#E  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 tK&.0)*=  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 ]y 6`9p  
x{io*sY-  
\K 01 F  
------------------------------------------------------------------- b~ ?TDm7  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个