阿里云
发表主题 回复主题
  • 5964阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 7tl)4A6  
$sc8)d\B  
[> &+*c  

c+b:K  
背景 2gL[\/s  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 jO&f*rxN  
h`EH~W0:z  
Tc3ih~LvG  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 U.pr} hq  
b*FU*)<4.  
oj^5G ]_ <  
木马运行流程如下: =>:% n  
/md Q(Dm  
U| 41u4)D  
@}&,W N%  
(Y'UvZlM%P  
是否触发恶意代码 KF:]4`$  
[I++>4  
)~?S0]j}  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
0{"dI;b%  
%qNj{<&  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 r>@ B+Xi  
GFQG(7G9  
a8bX"#OR&N  
U9@t?j_#X{  
核心服务 =0 C l  
K'iS#i7  
_o&,  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
uHUvntr  
.fLiXx  
e-%7F]e  
下图上传木马运行环境
xI`Uk8-8  
上传设备状态
-+ ]T77r  
fw1;i  
#|{BGVp  
上传已安装银行app
*c~'0|r  
nJldz;  
/@9-!cL  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| fH#F"^ A  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 3D?IG\3  
a!c/5)v(  
+X* F<6mZ  
随后C&C端返回控制指令,指令解析如下。
K)Df}fVOc  
vWqyZ-p,q  
v5&xY2RI7  
oglXW8  
kz7vbY  
劫持分析 S4l)TtY  
b[J-ja.  
S F&M (=w<  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 <_BqpZ^`  
q;~R:}?@  
Ur_ S [I  
_%A/ )  
{&\J)oZ  
另外的一些钓鱼界面。
t/v@vJ`vSH  
1zb$5{,|  
q=P f^Xp  
DHh+%|e  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: S`pF7[%rp  
at.bawag.mbanking t Y:G54d=_  
at.easybank.mbanking >QYh}Z- /%  
at.spardat.netbanking _N>wzkJ  
at.volksbank.volksbankmobile ~hS .\h  
com.rbs.mobile.android.rbs Kwy1SyU  
com.isis_papyrus.raiffeisen_pay_eyewdg v;)BVv  
2^ zg0!z  
tpv?`(DDU  
au.com.bankwest.mobile 7,pjej  
au.com.ingdirect.android 68v xI|EZ  
au.com.nab.mobile fl!mYCPv  
com.commbank.netbank y,'FTP9?  
org.banksa.bank &E.OyqGZV  
org.stgeorge.bank EG F:xl  
org.westpac.bank er(8}]X8Q  
rER~P\-  
f?2zLE>u  
com.db.mm.deutschebank '9^E8+=|  
com.barclays.android.barclaysmobilebanking YEg .  
com.starfinanz.mobile.android.dkbpushtan n (OjjR m  
com.starfinanz.smob.android.sbanking jFgZ}Xp  
com.starfinanz.smob.android.sfinanzstatus 9U!JK3d  
de.adesso.mobile.android.gad a^@+%?X  
de.comdirect.android y' 2<qj  
de.commerzbanking.mobil 6o$Z0mG  
de.consorsbank ^it4z gx@  
de.dkb.portalapp #uQrJh1o8  
de.fiducia.smartphone.android.banking.vr x*:n4FZ7b  
de.ing_diba.kontostand q A.+U:I8  
de.postbank.finanzassistent DG_}9M!DW@  
mobile.santander.de 5r'=O2AZX  
?(]a*~rx  
@8|~+y8,  
com.IngDirectAndroid HTxB=Q|  
com.arkea.android.application.cmb K3Huu!Tr  
com.arkea.android.application.cmso2 *^n^nnCwp  
com.boursorama.android.clients O\%j56Bf  
com.cacf.MonCACF TLy ;4R2Nn  
com.caisseepargne.android.mobilebanking >Ja0hS{*  
com.cic_prod.bad C=8H)Ef,l  
com.cm_prod.bad @v"T~6M  
com.fullsix.android.labanquepostale.accountaccess 5@K\c6   
com.groupama.toujoursla RvWFF^,.  
com.lbp.peps $,!hD\a  
com.macif.mobile.application.android : g&>D#{  
com.ocito.cdn.activity.creditdunord bG52s  
fr.axa.monaxa e,^pMg~  
fr.banquepopulaire.cyberplus &/HoSj>HS  
fr.banquepopulaire.cyberplus.pro W^wd ([  
fr.creditagricole.androidapp .Xi2G@D  
fr.lcl.android.customerarea II&<  
fr.lemonway.groupama "=FIFf  
mobi.societegenerale.mobile.lappli 8`a,D5U:  
net.bnpparibas.mescomptes )ukF3;Gt  
Q^nG0<q+  
V):`&@  
com.comarch.mobile [ ynuj3G V  
com.getingroup.mobilebanking D$ej+s7  
com.konylabs.cbplpat W.IH#`-9E  
eu.eleader.mobilebanking.pekao y!F:m=x<  
eu.eleader.mobilebanking.raiffeisen t~q?lT  
pl.bzwbk.bzwbk24 )mj<{Td`  
pl.bzwbk.mobile.tab.bzwbk24 #o~[1K+Yq  
pl.eurobank \` &ej{  
pl.ing.ingmobile A3j"/eKi2  
pl.mbank ;>5,  
pl.pkobp.iko CNq[4T'~A  
wit.android.bcpBankingApp.millenniumPL wBLsz/  
YKNb59k  
_O LI%o  
com.akbank.android.apps.akbank_direkt Zct!/u9 Q  
com.finansbank.mobile.cepsube W5 |j1He&  
com.garanti.cepsubesi L(;.n>/  
com.pozitron.iscep >C:If0S4X  
com.tmobtech.halkbank '\ XsTs#L  
com.vakifbank.mobile x+K gc[r  
com.ykb.android j|k @MfA  
com.ziraat.ziraatmobil RU7!U mf  
2?*||c==*  
_%;M9Sg3  
ca.bnc.android - {0g#G  
com.americanexpress.android.acctsvcs.us K|Om5 p  
com.chase.sig.android RN vQ  
com.cibc.android.mobi -nOq\RYV  
com.citi.citimobile l!/!?^8|f  
com.clairmail.fth V\"1wV~E  
com.coinbase.android =E!x~S;N  
com.creditkarma.mobile r 3|4gG  
com.discoverfinancial.mobile YroNpu]s  
com.fi9228.godough [t$4Tdd  
com.firstpremier.mypremiercreditcard b#A(*a_gN  
com.infonow.bofa <$Ztik1  
com.jpm.sig.android puA |NT  
com.moneybookers.skrillpayments A*Rn<{U  
com.paybybank.westernunion M}u1qXa  
com.paypal.android.p2pmobile f0u56I9  
com.pnc.ecommerce.mobile `On3/gU|  
com.suntrust.mobilebanking /7x\;&bc  
com.tdbank "Tv:*L5  
com.td Qww^P/vm  
com.transferwise.android "ee'2O  
com.unionbank.ecommerce.mobile.android EavX8r  
com.usaa.mobile.android.usaa Y+@g~TE  
com.usb.cps.axol.usbc R3Ee%0QK  
com.wf.wellsfargomobile Gnk|^i;t  
me.doubledutch.rbccapitalmarkets 1|]xo3j"'  
DRp&IP<  
OT;cfkf7  
劫持sdk<=22设备
WcU@~05b  
M7vj^mt?  
ogJ<e_ m  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
XGhwrI^  
获取sdk>22顶层包名
rFfy#e  
GQ[pG{ _+  
6"+8M 3M l  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
!LiQ 1`V{  
FQ!Oxlq,Q  
6g~+( ({lQ  
2f^-~dz  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
m!:.>y  
钓鱼界面
LXNQb6!  
7`dY1.rq  
提交用户输入
ABZ06S/  
).Gd1pE  
/BKtw8  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
,T{oy:rB  
l&Q!mU}  
s1=+::  
s/h7G}Mu  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 8YKQIt K  
6__K#r  
^K;hn,R=  
安全建议 R8 jovr  
d;44;*D  
fI]bzv;  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 CV3DMA  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 ]"h=Qc  
Nxi)Q$  
hfv%,,e  
------------------------------------------------------------------- W>/UBN3  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 84 - 29 = ?
上一个 下一个