阿里云
发表主题 回复主题
  • 7433阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 #SKfE  
!Eq#[Gs  
Zy^=fM  

9<yAQ?7 L  
背景 yL0f1nS  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。  %BUEX  
KQ&Y2l1*>>  
H&M1>JtE  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 Vy__b=ti?  
m#tpbFAsc  
{fZb@7?GF  
木马运行流程如下: v=!YfAn  
R{HV]o|qk  
a6%@d_A  
AXs=1  e  
\V,c]I   
是否触发恶意代码 11@]d ]v ,  
8p&kLo&  
L>dkrr)e  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
e}c&LDgU  
zDD4m`2  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 OTj,O77k  
*ZaaO^!  
w5`#q&?  
MaO"#{i  
核心服务 ;f:gX`"\  
\R(R9cry  
s=D f `  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
N2BI_,hI1  
d+;gw*_Ei  
gxwo4.,  
下图上传木马运行环境
LXj5R99S  
上传设备状态
RT^v:paNT2  
|~WYEh  
?7 \\e;j}  
上传已安装银行app
)tS-.PrA-  
]dSK wxk  
!SO8O  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| 5u r)uz]w8  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 D8%AV; -Y  
XM/vDdR  
@5.e@]>ZM  
随后C&C端返回控制指令,指令解析如下。
|Y},V_@d  
5+- I5HX|~  
0w %[  
lwT9~Hyp  
T-gk<V  
劫持分析 ?P/AC$:|I  
.m;G$X|3U  
o%`Xa#*Ly  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 pu+ur=5&  
7AwgJb hn  
!lTda<;]  
rv>^TR*,!  
$bvJTuw  
另外的一些钓鱼界面。
hIYTe  
FY'ty@|_s  
-)jax  
AVl~{k|  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: ,qQG;w,m  
at.bawag.mbanking sbj";h=E  
at.easybank.mbanking ]ikomCg   
at.spardat.netbanking }7s>B24J  
at.volksbank.volksbankmobile ; A,#;%j  
com.rbs.mobile.android.rbs jZpa0grA  
com.isis_papyrus.raiffeisen_pay_eyewdg )JD(`  
52d^K0STC  
~+G#n"Pn  
au.com.bankwest.mobile . ]@=es  
au.com.ingdirect.android !ABiy6d  
au.com.nab.mobile (;_FIUz0  
com.commbank.netbank O(z}H}Fv  
org.banksa.bank ?4 S+edX  
org.stgeorge.bank l|/LQ/  
org.westpac.bank *Dmx&F=3,5  
EH*o"N`!r  
ememce,Np  
com.db.mm.deutschebank &a,OfSz  
com.barclays.android.barclaysmobilebanking \ HZ9S=  
com.starfinanz.mobile.android.dkbpushtan 6KZf%)$  
com.starfinanz.smob.android.sbanking g(C|!}ex/  
com.starfinanz.smob.android.sfinanzstatus zYY$D.  
de.adesso.mobile.android.gad ] )DX%$f  
de.comdirect.android CZ<~3bEF  
de.commerzbanking.mobil q.#[TI ^  
de.consorsbank px;/8c-  
de.dkb.portalapp qZv =  
de.fiducia.smartphone.android.banking.vr \2 y5_;O  
de.ing_diba.kontostand (ll*OVL  
de.postbank.finanzassistent b5G}3)'w  
mobile.santander.de I6!5Yj]O"  
P>ceeoYQuA  
AK!hK>u`  
com.IngDirectAndroid MPgS!V1  
com.arkea.android.application.cmb /u%h8!"R  
com.arkea.android.application.cmso2 I<td1Y1q  
com.boursorama.android.clients YevyN\,}V!  
com.cacf.MonCACF }A=y=+4 j  
com.caisseepargne.android.mobilebanking I){\0vb@  
com.cic_prod.bad >LC<O.  
com.cm_prod.bad tR0pH8?e"  
com.fullsix.android.labanquepostale.accountaccess -|k)tvAm  
com.groupama.toujoursla M 3 '$[  
com.lbp.peps [#Lc]$  
com.macif.mobile.application.android }9HmTr|  
com.ocito.cdn.activity.creditdunord TL$EV>Nr  
fr.axa.monaxa |BT MJ:B  
fr.banquepopulaire.cyberplus =L|tp%!  
fr.banquepopulaire.cyberplus.pro 1n5(S<T  
fr.creditagricole.androidapp >T2LEW  
fr.lcl.android.customerarea fKC3-zm  
fr.lemonway.groupama 9Jf)!o8  
mobi.societegenerale.mobile.lappli aprm0:Q^  
net.bnpparibas.mescomptes FWue;pw3  
\!vN   
7|\@zQ h   
com.comarch.mobile 2kAx>R  
com.getingroup.mobilebanking QxuhGA  
com.konylabs.cbplpat VErv;GyV  
eu.eleader.mobilebanking.pekao eI.2`)>  
eu.eleader.mobilebanking.raiffeisen &8&d3EQ  
pl.bzwbk.bzwbk24 Oa;X +  
pl.bzwbk.mobile.tab.bzwbk24 O%g $9-?F0  
pl.eurobank f<=Fsl  
pl.ing.ingmobile C51bc6V  
pl.mbank Y2B &go  
pl.pkobp.iko ^;,M}|<h  
wit.android.bcpBankingApp.millenniumPL SG}V[Glk  
<IW#ME  
Spo?i.#  
com.akbank.android.apps.akbank_direkt @`tXKP$so  
com.finansbank.mobile.cepsube )"zvwgaW  
com.garanti.cepsubesi UYk>'\%H0  
com.pozitron.iscep f/WQ[\<!I  
com.tmobtech.halkbank )"f N!9,F  
com.vakifbank.mobile dm-pxE "  
com.ykb.android l`kWz5[~  
com.ziraat.ziraatmobil ,B4VT 96*  
1im^17 X  
o"wXIHUmV  
ca.bnc.android +*\X]06  
com.americanexpress.android.acctsvcs.us 3lV^B[$  
com.chase.sig.android  +`7KSwa  
com.cibc.android.mobi !D!~ ^\  
com.citi.citimobile '$4O!YI9@  
com.clairmail.fth %r&-gWTQ,  
com.coinbase.android p!]6ll^  
com.creditkarma.mobile z <mK>$  
com.discoverfinancial.mobile %WqNiF0-  
com.fi9228.godough b:qY gg  
com.firstpremier.mypremiercreditcard dKl^jsd  
com.infonow.bofa ZmOfEg|h\  
com.jpm.sig.android tm7u^9]  
com.moneybookers.skrillpayments Oj<S.fi  
com.paybybank.westernunion %uv?we7  
com.paypal.android.p2pmobile I^o!n5VM  
com.pnc.ecommerce.mobile U hIDRR  
com.suntrust.mobilebanking \!]Ua.e<  
com.tdbank *yl>T^DjTC  
com.td Z3[S]jC  
com.transferwise.android ~Lc066bLeq  
com.unionbank.ecommerce.mobile.android ngj,x7t  
com.usaa.mobile.android.usaa @EE."T9  
com.usb.cps.axol.usbc Bgmn2-  
com.wf.wellsfargomobile qY\f'K}Q*  
me.doubledutch.rbccapitalmarkets T~h5B(J;  
p ?wI9GY  
3\T2?w9u(  
劫持sdk<=22设备
:eo  
@( n^T  
8kP3+  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
bc , p }  
获取sdk>22顶层包名
N'xSG`,Mg  
oD}uOC}FS{  
v]B L[/4  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
mS k5u7  
yV)la@c  
5U_H>oD  
OFje+S  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
T{wuj[ Q#:  
钓鱼界面
Y.^=]-n,  
K'#E3={tt  
提交用户输入
a<]B B$~  
\QU^>2 3  
ktDC/8  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
$ cj>2.   
R *F l8   
xq"Jy=4Q*  
!%dN<%Ah  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 wf1lyS  
%X9r_Hx  
1>L(ul(qGF  
安全建议 " vtCTl~t  
MQin"\  
IHRGw  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 OzC\9YeA  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 +**!@uY  
%Qk/_ R1   
Le%Z V%,  
------------------------------------------------------------------- _#vrb;.+  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 2018-05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 2018-01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 2018-03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个