阿里云
发表主题 回复主题
  • 2440阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
106
云币
369
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 Xla~Yg  
@f_+=}|dc  
Ma"]PoP  

:9 ^* ^T  
背景 VP]%Hni]  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 czd~8WgOa  
PwLZkr@4^  
P";'jVcR  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 s->^=dy  
+srGN5!  
M/K5#8Arj  
木马运行流程如下: }`~+]9 <   
wAW5 Z0D  
'b{]:Y  
E^eVvP4uC@  
z' >_Mc6  
是否触发恶意代码 04=c-~&q  
B`J~^+`[*  
e^D]EA ]%  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
~R92cH>L  
e**qF=HCw  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 >\3V a  
Z?m3~L9L2  
W:L AP R  
,nDaqQ-C!!  
核心服务 r<^HmpUJ  
R/z=p_6p7`  
s,&Z=zt0R  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
'(|ofJe!  
w&T9;_/  
[3|P7?W/  
下图上传木马运行环境
ut7zVp<"  
上传设备状态
81 sG  
wD'SPk5S?  
uk<9&{  
上传已安装银行app
^,T(mKS  
@i IRmQ  
0^K">  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| xYpd: Sm  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 O[JL+g4  
*wB1,U{  
n8ZZ#}Nhg  
随后C&C端返回控制指令,指令解析如下。
_.Uh)-yR  
q6V>zi  
\n|EM@=eE  
m`^q <sj  
tG22#F`  
劫持分析 mSl.mi(JiZ  
g&Vx:fOC  
0{}8(  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 fSvM(3Y<Qh  
>V8-i`  
fN1-d&T  
 Sw, +p  
aNspMJ  
另外的一些钓鱼界面。
|~mOfuQb  
U$D65B4=  
j/c&xv 7=  
84zSK)=Y  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: #yF&X(%  
at.bawag.mbanking L2i_X@/  
at.easybank.mbanking uGK.\PB$  
at.spardat.netbanking ,G?WAOy,  
at.volksbank.volksbankmobile #r~# I}U  
com.rbs.mobile.android.rbs X[BIA+6  
com.isis_papyrus.raiffeisen_pay_eyewdg ag;pN*z  
.2Elr(&*h  
#rQ2gx4  
au.com.bankwest.mobile >7T'OC  
au.com.ingdirect.android Q1I6$8:7  
au.com.nab.mobile &d?CCb$|0Y  
com.commbank.netbank 8COGsWK  
org.banksa.bank ` *N[jm"  
org.stgeorge.bank '"/=f\)u  
org.westpac.bank }I6veagK  
`V)8 QRN(  
cj|80$cSA  
com.db.mm.deutschebank '9Xu p  
com.barclays.android.barclaysmobilebanking XZ]uUP  
com.starfinanz.mobile.android.dkbpushtan ~#[yJNYQ  
com.starfinanz.smob.android.sbanking qUW! G&R  
com.starfinanz.smob.android.sfinanzstatus b;W3j   
de.adesso.mobile.android.gad Ru!iR#s)!  
de.comdirect.android S8wLmd>  
de.commerzbanking.mobil ^]0Pfna+N  
de.consorsbank Val|n*%  
de.dkb.portalapp 6"O+w=5B  
de.fiducia.smartphone.android.banking.vr "W7K"=X  
de.ing_diba.kontostand f<fXsSv(  
de.postbank.finanzassistent S.94 edQ  
mobile.santander.de lH x^D;m6  
u=?.}Pj  
 +yH7v5W  
com.IngDirectAndroid 0$)>D==  
com.arkea.android.application.cmb vkx7paY_  
com.arkea.android.application.cmso2 ;!mzyb*  
com.boursorama.android.clients Fa Qe_;  
com.cacf.MonCACF ~hnQUS`A  
com.caisseepargne.android.mobilebanking m '|b GV  
com.cic_prod.bad rJT^H5!o"  
com.cm_prod.bad ?FeYN+qR  
com.fullsix.android.labanquepostale.accountaccess 7u S~MW  
com.groupama.toujoursla NMa}{*sQ  
com.lbp.peps vv3* j&I  
com.macif.mobile.application.android &0OG*}gi  
com.ocito.cdn.activity.creditdunord Ustv{:7v  
fr.axa.monaxa z0p*Z&  
fr.banquepopulaire.cyberplus F3v !AvA|  
fr.banquepopulaire.cyberplus.pro @uqd.Q  
fr.creditagricole.androidapp j9x<Y]  
fr.lcl.android.customerarea  3s,g*  
fr.lemonway.groupama j^j1  
mobi.societegenerale.mobile.lappli 3nIU1e  
net.bnpparibas.mescomptes ]YnD  
[fya)}  
'8RsN-w  
com.comarch.mobile (>UZ<2GPL  
com.getingroup.mobilebanking nX6u(U  
com.konylabs.cbplpat {7"Q\  
eu.eleader.mobilebanking.pekao JIEK*ui  
eu.eleader.mobilebanking.raiffeisen W7R<%?  
pl.bzwbk.bzwbk24 W+aP}rZm:  
pl.bzwbk.mobile.tab.bzwbk24 (^8Y|:Tz  
pl.eurobank IXMop7~  
pl.ing.ingmobile V%7WUq  
pl.mbank M)J5;^["  
pl.pkobp.iko U2tV4_ e  
wit.android.bcpBankingApp.millenniumPL ?/wm(uL  
 &=@IzmA  
!=*g@mgF  
com.akbank.android.apps.akbank_direkt ?Ny9'g>?  
com.finansbank.mobile.cepsube zsEc(  
com.garanti.cepsubesi BM%e0n7  
com.pozitron.iscep fy>{QC\  
com.tmobtech.halkbank Go`vfm"S  
com.vakifbank.mobile :)-Sk$  
com.ykb.android Maha$n*  
com.ziraat.ziraatmobil [N-Di"  
z\\[S@>pt  
e/KDw  
ca.bnc.android Fd%#78UEo}  
com.americanexpress.android.acctsvcs.us <,3a3  
com.chase.sig.android !P2ro~0/  
com.cibc.android.mobi "(3[+W{|  
com.citi.citimobile aq>kTaz  
com.clairmail.fth 0JWDtmK=C  
com.coinbase.android =J]&c?I  
com.creditkarma.mobile .Yamc#A-  
com.discoverfinancial.mobile \#8D>i?m  
com.fi9228.godough <O(4TO  
com.firstpremier.mypremiercreditcard e[{0)y>=  
com.infonow.bofa n2"a{Ofhlf  
com.jpm.sig.android ^rB8? kt  
com.moneybookers.skrillpayments vz@A;t  
com.paybybank.westernunion $!-yr7  
com.paypal.android.p2pmobile bt@< ut\  
com.pnc.ecommerce.mobile CQc+#nRe  
com.suntrust.mobilebanking ^)470K`%)  
com.tdbank 7zl5yK N  
com.td sbfuzpg]*  
com.transferwise.android /m!BY}4W  
com.unionbank.ecommerce.mobile.android ^L,K& Jd  
com.usaa.mobile.android.usaa cRC6 s8  
com.usb.cps.axol.usbc 1>.Ev,X+e  
com.wf.wellsfargomobile P7ao5NP  
me.doubledutch.rbccapitalmarkets j}#w )M  
Ex.yU{|c  
SjK  
劫持sdk<=22设备
FBG4pb9=~  
av(6wht8  
;'gWu  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
p0]=QH  
获取sdk>22顶层包名
%J}xg^+f  
qfX6TV5J}!  
zWnX*2>b  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
\wmN  
M+oHtX$  
),_@WW;k  
&L3M]  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
{aZ0;  
钓鱼界面
&Hrj3E  
)J=!L\  
提交用户输入
//B&k`u  
g%o(+d  
pt?bWyKG  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
]43/`FX  
ip\sXVR  
zE*li`@  
rV.}PtcFY  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 @b\$yB@z  
W@>% {eE  
eNh39er  
安全建议 4>YR{  
LPXi+zj  
$L `d&$Vh  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 XE RUo  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 _=r6=.  
@ 6\I~s(  
AhN4mc@  
------------------------------------------------------------------- q$L%36u~/  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个