阿里云
向代码致敬,寻找你的第83行
发表主题 回复主题
  • 3920阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
371
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 Q+Bl1xl  
Z:{| ?4  
> 'R{,1# U  

{]\7 M|9\  
背景 @\?HlGWEf  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 {8.Zb NEJ  
M8-8 T  
UV2W~g  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 )+L|<6JXA  
^Q#_  
7{<v$g$  
木马运行流程如下: 0BXr[%{`  
Z#}sK5s  
;n't:yQW  
li[[AAWVm  
y hKH} kR  
是否触发恶意代码 1i#y>fUj  
XHA|v^  
fnX[R2KZ  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
syr0|K[  
:|(YlNUv  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 $ 5"  
YXp\C"~g  
A l;a~45  
Zv}F?4T~:  
核心服务 bhD-;Y!6;  
6c!F%xU}  
, >WH)+a  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
d*tWFr|J-  
pJFn 8&!J  
YH58p&up  
下图上传木马运行环境
y CHOg  
上传设备状态
(EcP'F*;;y  
_=0Ja S>M.  
"&H'?N%9Up  
上传已安装银行app
';G/,wB?`  
U LS>v  
P DY :?/  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| s=)W  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 Y*@7/2,  
WzFXF{(  
IiniaVuQ  
随后C&C端返回控制指令,指令解析如下。
}-:B`:K&  
;R 6f9tu2  
n=j) M  
EPW4 h/I  
1M`>;fjYa  
劫持分析 3F"vK  
_v#pu Fy  
#8XmOJ"W3k  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 %qcCv9  
=ttD5 p  
0fstEExw  
>&HW6 c  
PI L)(%X  
另外的一些钓鱼界面。
TAh'u|{u2  
Z5'^Hj1,  
N^B7<~ bD  
)7Hx <?P  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等:  I wj[ ^  
at.bawag.mbanking @ *Jbp  
at.easybank.mbanking j8Mt"B  
at.spardat.netbanking <`-sS]=d}  
at.volksbank.volksbankmobile a9&[Qv5-/  
com.rbs.mobile.android.rbs '9]?jkl  
com.isis_papyrus.raiffeisen_pay_eyewdg v1i-O'  
KiG19R$  
%_n%-Qn  
au.com.bankwest.mobile 9Znc|<  
au.com.ingdirect.android i'CK/l.H  
au.com.nab.mobile >lmqPuf  
com.commbank.netbank >4bw4 Z1  
org.banksa.bank jSBz),.XU}  
org.stgeorge.bank nv0D4 t  
org.westpac.bank =M:Po0?0E  
V*JqC  
F%zMhX'AG  
com.db.mm.deutschebank :icpPv  
com.barclays.android.barclaysmobilebanking 5fs,UH  
com.starfinanz.mobile.android.dkbpushtan yU(}1ZID  
com.starfinanz.smob.android.sbanking dR i6  
com.starfinanz.smob.android.sfinanzstatus U`N?<zm<oO  
de.adesso.mobile.android.gad >~7XBb08  
de.comdirect.android m%eCTpYo  
de.commerzbanking.mobil RJ3uu NK7  
de.consorsbank ~ecN4Oo4q;  
de.dkb.portalapp @lM-+q(tl  
de.fiducia.smartphone.android.banking.vr p4O[X\T  
de.ing_diba.kontostand G \a`F'Oo  
de.postbank.finanzassistent b!MN QGs  
mobile.santander.de /xSJljexz  
_)LXD,LA  
>8{{H"$;(  
com.IngDirectAndroid Xa-TNnws?  
com.arkea.android.application.cmb [ZG>FJDl8  
com.arkea.android.application.cmso2 N?S;v&q+  
com.boursorama.android.clients t?^!OJ:L  
com.cacf.MonCACF 2 N(Z^  
com.caisseepargne.android.mobilebanking TqS s*as5  
com.cic_prod.bad +p _?ekV\  
com.cm_prod.bad C:AV?  
com.fullsix.android.labanquepostale.accountaccess US's`Ehx  
com.groupama.toujoursla :Eh}]_  
com.lbp.peps ":sp0(`h  
com.macif.mobile.application.android p4\sKF8-  
com.ocito.cdn.activity.creditdunord 67H?xsk@n  
fr.axa.monaxa E>#@ H  
fr.banquepopulaire.cyberplus >sAaLR4  
fr.banquepopulaire.cyberplus.pro ZJFF4($qN  
fr.creditagricole.androidapp ' 8R5 Tl  
fr.lcl.android.customerarea qb=%W  
fr.lemonway.groupama 1DU l<&4  
mobi.societegenerale.mobile.lappli st.{AEv@  
net.bnpparibas.mescomptes [# X} (  
J pj[.Sq  
1f"}]MbLR  
com.comarch.mobile y_Gs_xg  
com.getingroup.mobilebanking %WP[V{,F  
com.konylabs.cbplpat 3ohHBo  
eu.eleader.mobilebanking.pekao | "b|Q  
eu.eleader.mobilebanking.raiffeisen 0.PG]K6  
pl.bzwbk.bzwbk24 18kWnF]n=  
pl.bzwbk.mobile.tab.bzwbk24 PxWH)4  
pl.eurobank dB&<P[$+8  
pl.ing.ingmobile V3|" v4  
pl.mbank EKw)\T1  
pl.pkobp.iko x~IrqdmW  
wit.android.bcpBankingApp.millenniumPL C>-}BeY!  
9J_vvq`%`  
*Br }U  
com.akbank.android.apps.akbank_direkt ;$]a.9 -  
com.finansbank.mobile.cepsube <Vh5`-J  
com.garanti.cepsubesi ^[+2P?^K  
com.pozitron.iscep wvxqgXnB\  
com.tmobtech.halkbank S,'ekWVD  
com.vakifbank.mobile S@ y! 0,  
com.ykb.android "WPWMQ+  
com.ziraat.ziraatmobil %Zfh6Bl\X  
7bVKH[  
>$3 =yw%  
ca.bnc.android \|4F?Y  
com.americanexpress.android.acctsvcs.us kA2)T,s74  
com.chase.sig.android E=bZ4 /  
com.cibc.android.mobi n(n7"+B  
com.citi.citimobile MP )nQ  
com.clairmail.fth 'Vhnio;qC  
com.coinbase.android <I?f=[  
com.creditkarma.mobile %X\Rfn0J"  
com.discoverfinancial.mobile zQGj,EAM}  
com.fi9228.godough R$it`0D4o  
com.firstpremier.mypremiercreditcard )wEXCXr!  
com.infonow.bofa hA`9[58/  
com.jpm.sig.android h7xgLe@  
com.moneybookers.skrillpayments i!<(R$ Lo  
com.paybybank.westernunion >RiU/L  
com.paypal.android.p2pmobile ZxDh! _[s  
com.pnc.ecommerce.mobile 6hFs{P7  
com.suntrust.mobilebanking 7 lq$PsC  
com.tdbank idS+&:'  
com.td 5a&gdqg]  
com.transferwise.android ?]}=4  
com.unionbank.ecommerce.mobile.android vMJC  
com.usaa.mobile.android.usaa (5RZLRn  
com.usb.cps.axol.usbc 7i=ER*F~  
com.wf.wellsfargomobile g)<[-Q1  
me.doubledutch.rbccapitalmarkets n*~#]%4  
7=A @P  
;~}!P7z  
劫持sdk<=22设备
iZ(p]0aP7  
0.wN&:I8t  
`K2vG`c  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
"?J f#  
获取sdk>22顶层包名
2T"[$iH!7  
%nkbQ2^  
L$ju~0jl)%  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
MR* % lZpB  
hSk  
z2dW)_fU$  
tkHUX!Ow;  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
y8|}bd<Sr  
钓鱼界面
r+MqjdXG  
_<)HFg6  
提交用户输入
M !rw!,g  
YgkQF0+  
_b[Pk;8}j;  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
,0n=*o@W  
w< |Lx#L}  
k%LsjN.S  
J]&nZud`  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 uq]E^#^  
u%CJjy  
PE+{<[n  
安全建议 leJ3-w{ 2  
.wuRT>4G)G  
/^ [K  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 95-%>?4  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 [i]%PVGW  
-k3WY&9,  
h56s~(?O  
------------------------------------------------------------------- zXeBUbVi  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
级别: 新人
发帖
16
云币
24
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个