阿里云
发表主题 回复主题
  • 1418阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
100
云币
358
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 x)2ZbIDB:"  
VL@eR9}9K  
fJOA5(  

uPL|3ACS  
背景 `< cn  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 iy,jq5uw  
Pu0O6@Rg  
;fKFmY41  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ~`CWpc:  
kiR+ Dsl  
j |:{ B  
木马运行流程如下: W"H*Ad(V  
CoQ<Ky}*  
F */J`l  
KFn[  
S5xum_Dq  
是否触发恶意代码 Hyz:i)2  
&-M}:'  
q5ja \  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
20k@!BNq  
#TKByOcD2!  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 _(J/$D  
Qj',&b  
@vkO(o  
Pa\"l'!>^  
核心服务 ^,N=GZRWW  
-}Q^A_xK  
:]k`;;vh  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
wYLJEuS|  
^+'\ u;\  
t7qY!S (  
下图上传木马运行环境
H m Z*  
上传设备状态
1;N5@0%p  
<vUhJgN2/  
z,q1TU9  
上传已安装银行app
`78)|a*R.  
b1ma(8{{{  
r*XEne  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| s\A4y "  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 IIIP<nyc  
{m7>9{`  
-Ay=*c.4  
随后C&C端返回控制指令,指令解析如下。
'\I!RAZ  
f?|cQ[#t!\  
p`2w\P3;)  
, UiA?7k  
65||]l  
劫持分析 yEB1gYJB  
Tq*K =^  
t2 0Es  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 iX\]-_D  
WG=~GDS>  
A-om?$7  
;;? Zd  
#<EMG|&(  
另外的一些钓鱼界面。
bL9vjD'}  
99tKs  
nht?58  
_q<Ke/  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: k;c>=B)e  
at.bawag.mbanking $>=?'wr  
at.easybank.mbanking D3xyJ  
at.spardat.netbanking gyf9D]W  
at.volksbank.volksbankmobile D +Ui1h-  
com.rbs.mobile.android.rbs w9Z,3J6r  
com.isis_papyrus.raiffeisen_pay_eyewdg 7;x}W-`iF  
/_.1f|{B  
C^8n;i9  
au.com.bankwest.mobile 7ts`uI<E@7  
au.com.ingdirect.android ])3(@.  
au.com.nab.mobile ^DH*\ee  
com.commbank.netbank }{S f*  
org.banksa.bank 3:~ *cU  
org.stgeorge.bank LCouDk(=`  
org.westpac.bank |';oIYs|$  
CS|al(?~  
5%1a!M M M  
com.db.mm.deutschebank ilr'<5 rq  
com.barclays.android.barclaysmobilebanking pas^FT~  
com.starfinanz.mobile.android.dkbpushtan PRQEk.C  
com.starfinanz.smob.android.sbanking P'Diie  
com.starfinanz.smob.android.sfinanzstatus Iq["(!7E5  
de.adesso.mobile.android.gad _(1Shm  
de.comdirect.android :N>n1tHL;A  
de.commerzbanking.mobil !)-)*T  
de.consorsbank fjP(r+[  
de.dkb.portalapp %(YU*Tf~  
de.fiducia.smartphone.android.banking.vr wJMk%N~R:  
de.ing_diba.kontostand .mwB'Ll  
de.postbank.finanzassistent Kd;Iu\4hv  
mobile.santander.de ]21`x  
> Sc/E}3  
KbTd`AIL  
com.IngDirectAndroid u/ZV35z  
com.arkea.android.application.cmb Xdl7'~k  
com.arkea.android.application.cmso2 T:!f_mu|  
com.boursorama.android.clients  e gdbv  
com.cacf.MonCACF \S]` { kY,  
com.caisseepargne.android.mobilebanking a>8&B  
com.cic_prod.bad >i!y[F  
com.cm_prod.bad L"Dos +  
com.fullsix.android.labanquepostale.accountaccess Rv)*Wo!L  
com.groupama.toujoursla I#UL nSJ3  
com.lbp.peps 9!?Ywc>0#  
com.macif.mobile.application.android \]|(w*C  
com.ocito.cdn.activity.creditdunord f)1*%zg%  
fr.axa.monaxa 9}A\Bh tiM  
fr.banquepopulaire.cyberplus M REB  
fr.banquepopulaire.cyberplus.pro a^g}Z7D'T  
fr.creditagricole.androidapp L ARMZoyi  
fr.lcl.android.customerarea *-X`^R  
fr.lemonway.groupama C 8KV<k  
mobi.societegenerale.mobile.lappli uNf97*~_  
net.bnpparibas.mescomptes 7G=Q9^J.H  
N{#9gr3zi  
3$4I  
com.comarch.mobile 3}5Ya\x  
com.getingroup.mobilebanking }poLH S/  
com.konylabs.cbplpat tQE<'94A  
eu.eleader.mobilebanking.pekao k>F>y|m  
eu.eleader.mobilebanking.raiffeisen Uc9hv?  
pl.bzwbk.bzwbk24 C9 j{:&  
pl.bzwbk.mobile.tab.bzwbk24 _wUg+Xs]  
pl.eurobank DD}YbuO7  
pl.ing.ingmobile #giH`|#d  
pl.mbank -s^)HR l  
pl.pkobp.iko B\tm  
wit.android.bcpBankingApp.millenniumPL HV{W7)  
:xk+`` T  
X/h|;C* 9  
com.akbank.android.apps.akbank_direkt %WPy c%I  
com.finansbank.mobile.cepsube j>G|Xv  
com.garanti.cepsubesi ]U&<y8Q_6  
com.pozitron.iscep vCUbbQz  
com.tmobtech.halkbank Y*sw;2Z;a  
com.vakifbank.mobile EUW>8kw0  
com.ykb.android .:O($9^Ho  
com.ziraat.ziraatmobil a7aj:.wi  
T(Ji%S >  
 r}}2 Kl  
ca.bnc.android JAy-N bb\  
com.americanexpress.android.acctsvcs.us D^6Q`o  
com.chase.sig.android ZC`VuCg2O  
com.cibc.android.mobi S0ltj8t  
com.citi.citimobile 0"Zxbgu)  
com.clairmail.fth DB}v..  
com.coinbase.android Gd$!xN %O  
com.creditkarma.mobile 39I|.B"  
com.discoverfinancial.mobile s>%.bAxc  
com.fi9228.godough <[$a7l i  
com.firstpremier.mypremiercreditcard Sj o-Xf}  
com.infonow.bofa 8_pyfb  
com.jpm.sig.android FL4BdJ\  
com.moneybookers.skrillpayments s p+'c;a  
com.paybybank.westernunion EMpq+LrN  
com.paypal.android.p2pmobile Bd- &~s^  
com.pnc.ecommerce.mobile ;j qF:Wl@  
com.suntrust.mobilebanking )2#q i/  
com.tdbank @pH6FXVGzt  
com.td Ikw.L  
com.transferwise.android A%x0'?GU  
com.unionbank.ecommerce.mobile.android ;-BN~1Jg  
com.usaa.mobile.android.usaa [rW];H8:~  
com.usb.cps.axol.usbc s0:M'wA  
com.wf.wellsfargomobile Bs|Xq'1M!;  
me.doubledutch.rbccapitalmarkets *e<}hm Dr  
x+ER 3wDD@  
U$3DIJVI  
劫持sdk<=22设备
z30 mk  
+@yU `  
s:_a.4&Y  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
q2'}S A/  
获取sdk>22顶层包名
-~4r6ZcA  
T>7N "C  
!uO@4]:Y  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
m*CW3y{n)  
Vh2uzG  
,zr,>^ v  
iH@u3[w  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
`#wEa'v6  
钓鱼界面
.MRN)p  
uv8k ea .(  
提交用户输入
JM?__b7g2  
HY1K(T  
8F[ ;ma>Z8  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
Rm}5AJ  
/5z,G r  
8 5)C7tJ-g  
at{p4Sl  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。  S.B?l_d^  
lY(_e#  
VpAwvMw  
安全建议 Ejr'Yzl3_  
lMh>eX  
"crp/Bj?  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 m;hp1VO)  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 d4ld-y  
\'[tfSB  
ef&8L  
------------------------------------------------------------------- 1n}#54  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个