阿里云
发表主题 回复主题
  • 4240阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 qV8\/7'A0a  
E'S;4B5?  
d)1sP0Z_@  

uU(G_E ?  
背景 y7)[cvB  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 RrU~"P1C  
uM)9b*Vbo  
[G[{l$Eit  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 _2X6bIE  
,cy/fW  
RQS:h]?:l  
木马运行流程如下: , HI%Xn  
xDA,?i;T 0  
";?C4%L  
%{~mk[d3  
J%f=A1Q  
是否触发恶意代码 D*T$ v   
@7l=+`.i  
XJlDiBs9=Q  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
b!5tFX;J  
9Ajgfy>  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 QV'3O|  
0]eh>ab>  
z^!A/a[[!  
Q0q)n=i }]  
核心服务 "l[ V%f E  
=O3I[  
4&]To@>  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
-4y)qGb*?  
HDSA]{:sl  
ttbQergS  
下图上传木马运行环境
3<)@ll  
上传设备状态
g3|Y$/J7P  
cGpN4|*rQ  
=Qj+Ug'  
上传已安装银行app
C?/r}ly<\  
iUxDEt[t*  
3vRL g b  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| ]cLEuE^&  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 {? K|(C  
0+n&BkS'  
k67i`f=  
随后C&C端返回控制指令,指令解析如下。
nv_m!JG7  
2{sD*8&`  
3lLW'g&=  
"u Of~e"  
k}I5x1>&  
劫持分析 =2;mxJ#o  
Z/NGv  
;9p#xW6  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 Pghva*&  
cYq']$]  
"UhK]i*@l  
eN<>#: `  
XQ0#0<  
另外的一些钓鱼界面。
W2F +^  
Giy3eva2  
~{1/*&P  
Gs_*/E7,  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: gJFR1  
at.bawag.mbanking ,<0Rf  
at.easybank.mbanking P S_3Oq)  
at.spardat.netbanking `uIx/.L  
at.volksbank.volksbankmobile R "/xne  
com.rbs.mobile.android.rbs .q5J^/kr  
com.isis_papyrus.raiffeisen_pay_eyewdg m0x J05Zx  
RsqRR`|X?  
eD*?q7  
au.com.bankwest.mobile xQNw&'|UU  
au.com.ingdirect.android 2X qTyf<  
au.com.nab.mobile $'A4RVVT  
com.commbank.netbank `DgaO-Dg3  
org.banksa.bank (*Gi~?-  
org.stgeorge.bank L?=#*4t  
org.westpac.bank %|:;Ti  
Ij;==f~G  
%+AS0 JhB  
com.db.mm.deutschebank k%EWkM)?  
com.barclays.android.barclaysmobilebanking NqiB8hZ~  
com.starfinanz.mobile.android.dkbpushtan wFK:Dp_^  
com.starfinanz.smob.android.sbanking }G>v]bV0V  
com.starfinanz.smob.android.sfinanzstatus Nd]0ta  
de.adesso.mobile.android.gad d u.HSXK  
de.comdirect.android a~8:rW^  
de.commerzbanking.mobil @Ufa -h5"(  
de.consorsbank =]=B}L `  
de.dkb.portalapp R^jlEt\&P  
de.fiducia.smartphone.android.banking.vr [GtcaX{Zz  
de.ing_diba.kontostand 6?53q e  
de.postbank.finanzassistent L_tjcfVo  
mobile.santander.de yr FZ~r@-  
^36M0h|R  
s9uL<$,'  
com.IngDirectAndroid x7vq?fP0n  
com.arkea.android.application.cmb $-m@KB  
com.arkea.android.application.cmso2 R ^HohB  
com.boursorama.android.clients 99J+$A1  
com.cacf.MonCACF W\HLal  
com.caisseepargne.android.mobilebanking U5|B9%:&  
com.cic_prod.bad EYA/CI   
com.cm_prod.bad y:qx5Mi  
com.fullsix.android.labanquepostale.accountaccess bBA$}bv  
com.groupama.toujoursla a`DWpc~  
com.lbp.peps  `>%-  
com.macif.mobile.application.android aL88E  
com.ocito.cdn.activity.creditdunord J cP~-cp  
fr.axa.monaxa ZH\0=l)  
fr.banquepopulaire.cyberplus 6hp{,8|D"m  
fr.banquepopulaire.cyberplus.pro  ,Qat  
fr.creditagricole.androidapp $"/UK3|d  
fr.lcl.android.customerarea `+oV/:Q3  
fr.lemonway.groupama P=c?QYF  
mobi.societegenerale.mobile.lappli p`\3if'  
net.bnpparibas.mescomptes YdK _.t0Mu  
}6<)yW}U  
Ft3I>=f{  
com.comarch.mobile 6*sw,sU[y  
com.getingroup.mobilebanking oBb?"2~9  
com.konylabs.cbplpat \$j^_C>  
eu.eleader.mobilebanking.pekao 9e]'OKL+  
eu.eleader.mobilebanking.raiffeisen +a #lofhv  
pl.bzwbk.bzwbk24 `Uv)Sf{  
pl.bzwbk.mobile.tab.bzwbk24 h(_P9E[g  
pl.eurobank 2@sr:,\1  
pl.ing.ingmobile Sobtz}A*  
pl.mbank L1rwIOgq^  
pl.pkobp.iko #^Ys{  
wit.android.bcpBankingApp.millenniumPL ) 9MrdVNv  
&2Q*1YXj  
Z{} n8 b*  
com.akbank.android.apps.akbank_direkt ZBF1rx?  
com.finansbank.mobile.cepsube I'dj.  
com.garanti.cepsubesi h20Hg|   
com.pozitron.iscep <.}Ua(  
com.tmobtech.halkbank xHHV=M2l(s  
com.vakifbank.mobile |gW    
com.ykb.android $6# lTYN~  
com.ziraat.ziraatmobil k}HQq_Y(<  
G)8ChnJa!m  
4#_$@ r  
ca.bnc.android :&9TW]*g  
com.americanexpress.android.acctsvcs.us p'g^Wh  
com.chase.sig.android +qhnP$vIe  
com.cibc.android.mobi %kq ^]S2O  
com.citi.citimobile \"'\MA  
com.clairmail.fth 3"Yif  
com.coinbase.android Ib6(Bp9.L  
com.creditkarma.mobile t7bqk!6hM\  
com.discoverfinancial.mobile ;\x~'@  
com.fi9228.godough iV!@bC,  
com.firstpremier.mypremiercreditcard lVoik *,B  
com.infonow.bofa \Tyf*:_F>  
com.jpm.sig.android g8l5.Mpx  
com.moneybookers.skrillpayments p,;mYms  
com.paybybank.westernunion AWT"Y4Ie  
com.paypal.android.p2pmobile q$T8bh,2  
com.pnc.ecommerce.mobile DvYwCgLR  
com.suntrust.mobilebanking +ubnx{VC  
com.tdbank _=EZ `!%  
com.td Xk,>l6 vc  
com.transferwise.android ('4wXD]C  
com.unionbank.ecommerce.mobile.android 8_a3'o%5  
com.usaa.mobile.android.usaa #ib^Kg  
com.usb.cps.axol.usbc 'MN1A;IJ  
com.wf.wellsfargomobile 4,~tl~FD  
me.doubledutch.rbccapitalmarkets C ) ?uE'  
=EpJZt  
#\ #3r  
劫持sdk<=22设备
:Q7mV%%  
ah+j!e  
NXI[q 'y  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
.S7:;%qL6  
获取sdk>22顶层包名
/ M@ PO"  
mmP U  
Qx t@ V  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
[/$N!2'5  
e_rzA  
!` 26\@1  
FN?3XNp.  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
[@G`Afaf  
钓鱼界面
Mu2`ODe]  
< kP+eD  
提交用户输入
&z@~B&O  
3ZojE ux`  
g_z/{1$  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
A,#2^dR  
XYfv(y  
z<&m*0WYA  
8omC%a}9m  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 %e_"CS  
dR+1aY;  
&tE.6^F  
安全建议 Y7SacRO  
50n}my'2h  
aE/D*.0NI  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 _0(7GE13p  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 s| -FH X  
X?o( b/F -  
VKW|kU7Cs$  
------------------------------------------------------------------- jd:B \%#![  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 45 - 4 = ?
上一个 下一个