阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 3751阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
371
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 Ar7vEa81  
GV#"2{t j  
(.4mX t  

/*!K4)$-*2  
背景 9$8B)x  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 -'3~Y 2#  
5 BR9f3}  
/ >c F  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 ,!_$A}@0 ^  
Q4\EI=4P]  
z40uY]Ck  
木马运行流程如下: &dp<i[ec^  
;W,XP#{W  
5xX*68]%  
0G ^73Z  
&+;z`A'|8  
是否触发恶意代码 6,*hzyy}Qu  
dPgN*Bdv  
lg FA}p@  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
W- 5Z"m1I  
K n%[&  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 8sjAr.iT.  
PB00\&6H  
|1C=Ow*"  
T(zE RWo  
核心服务 `wz@l:e  
bzD <6Z  
3tY \0y9  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
tQE=c 7/M  
ua[ d  
W m\HZ9PN  
下图上传木马运行环境
[F{q.mZj  
上传设备状态
gBb+Q,  
89ivyv;]U  
qE?*:$  
上传已安装银行app
]`39E"zY  
?4v&TB@  
``KimeA~  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| N9@@n:JT  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 l?GN& u  
#AHX{<  
#vCtH2  
随后C&C端返回控制指令,指令解析如下。
mTXeIng?  
gE2k]`[j]  
?IRp3H  
7`-fN|  
w/+e  
劫持分析 {`~uBz+dJq  
.: gZ*ks~  
L-Qc[L  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 }jTCzqHW]  
_Bh-*e2k  
T= Q"| S]V  
S%J$.ge  
HUUN*yikj  
另外的一些钓鱼界面。
'4 T}$a"i  
W$&{jr-p  
j"g[qF/*  
RMJq9a  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: o"h* @.  
at.bawag.mbanking -pEt=  
at.easybank.mbanking ( -^-  
at.spardat.netbanking #+$pE@u7A  
at.volksbank.volksbankmobile vX|i5P0)8  
com.rbs.mobile.android.rbs \/=w \Tj  
com.isis_papyrus.raiffeisen_pay_eyewdg '?7?"v  
IJX75hE0g  
[!Uzw 2  
au.com.bankwest.mobile @~WSWlQW  
au.com.ingdirect.android G&ZpQ)  
au.com.nab.mobile AcC'hr.N+  
com.commbank.netbank >IZ|:lsxE  
org.banksa.bank g Mhn\  
org.stgeorge.bank \X&LrneR"t  
org.westpac.bank 66RqjP '2  
NlLgXn!  
TNgf96) y  
com.db.mm.deutschebank %K@s0uQ  
com.barclays.android.barclaysmobilebanking ZWJ%t'kF  
com.starfinanz.mobile.android.dkbpushtan lJZ-*"9V  
com.starfinanz.smob.android.sbanking g+CTF67  
com.starfinanz.smob.android.sfinanzstatus ~\4`tc  
de.adesso.mobile.android.gad N0U6N< w  
de.comdirect.android P!uwhha/g  
de.commerzbanking.mobil c;RB!`9"  
de.consorsbank 9hoTxWpmy  
de.dkb.portalapp f( =3'wQ  
de.fiducia.smartphone.android.banking.vr 8&d s  
de.ing_diba.kontostand BEU^,r3z  
de.postbank.finanzassistent AH?T}t2  
mobile.santander.de HI+87f_Q  
gie.K1@|  
[}p/pj=  
com.IngDirectAndroid gD$bn=  
com.arkea.android.application.cmb h5@v:4Jjo~  
com.arkea.android.application.cmso2 #f *,mY|>  
com.boursorama.android.clients E]Wnl\Be  
com.cacf.MonCACF <<Zt.!hS  
com.caisseepargne.android.mobilebanking Gvo|uB#  
com.cic_prod.bad "0BuQ{CQ  
com.cm_prod.bad i,k.#Vx[m  
com.fullsix.android.labanquepostale.accountaccess gW0{s[}T  
com.groupama.toujoursla |[%CFm}+?  
com.lbp.peps SM3qPlsF  
com.macif.mobile.application.android X9:4oMux7  
com.ocito.cdn.activity.creditdunord *^h$%<QI  
fr.axa.monaxa BbCt_z'  
fr.banquepopulaire.cyberplus c UJUZ@ol  
fr.banquepopulaire.cyberplus.pro 52RFB!Z[  
fr.creditagricole.androidapp IiX`l6L~W  
fr.lcl.android.customerarea ZH@BHg|}H  
fr.lemonway.groupama hSBR9g  
mobi.societegenerale.mobile.lappli K@0gBgN  
net.bnpparibas.mescomptes y[L7=Td  
zYL</!6a[  
_PI w""ssr  
com.comarch.mobile 0zscOE{  
com.getingroup.mobilebanking u0 & aw  
com.konylabs.cbplpat T[$! ^WT  
eu.eleader.mobilebanking.pekao HizMjJ|  
eu.eleader.mobilebanking.raiffeisen ="M7F0k  
pl.bzwbk.bzwbk24 +x?_\?&Ks  
pl.bzwbk.mobile.tab.bzwbk24 x37pj)i/  
pl.eurobank R78=im7  
pl.ing.ingmobile X?B9Z8  
pl.mbank =CCxY7)M+.  
pl.pkobp.iko >icL,n"]  
wit.android.bcpBankingApp.millenniumPL AdCi*="m  
DA0{s  
;,z[|"y  
com.akbank.android.apps.akbank_direkt #5Zf6w  
com.finansbank.mobile.cepsube #<^ngoOj  
com.garanti.cepsubesi YLEk M  
com.pozitron.iscep U}r^M( s!  
com.tmobtech.halkbank ig] hY/uT  
com.vakifbank.mobile n$z}DE5 #  
com.ykb.android "CS {fyJ  
com.ziraat.ziraatmobil l7g< $3  
Oyfc!  
&7gL&AY8  
ca.bnc.android !W^b:qjJ  
com.americanexpress.android.acctsvcs.us e-}b]\  
com.chase.sig.android hH=H/L_Z  
com.cibc.android.mobi ;k<n}shD  
com.citi.citimobile `2 vv8cg^  
com.clairmail.fth #D{jNSB  
com.coinbase.android M-  f)\`I  
com.creditkarma.mobile ^t|CD|,K_O  
com.discoverfinancial.mobile AbWnDqv  
com.fi9228.godough Pf?*bI  
com.firstpremier.mypremiercreditcard w]BZgF.  
com.infonow.bofa 4bT21J37  
com.jpm.sig.android p@/i e@DX  
com.moneybookers.skrillpayments LuLnmnmB  
com.paybybank.westernunion -ZmccT"8  
com.paypal.android.p2pmobile ";I|\ T  
com.pnc.ecommerce.mobile yNw YP%"y  
com.suntrust.mobilebanking (A6 -9g>  
com.tdbank B{:JD^V!  
com.td ~@3X&E0S  
com.transferwise.android q- U/JC  
com.unionbank.ecommerce.mobile.android _N.N?>  
com.usaa.mobile.android.usaa Z#n!=k TTm  
com.usb.cps.axol.usbc q#8$@*I  
com.wf.wellsfargomobile 7y4!K$c$  
me.doubledutch.rbccapitalmarkets Jgf73IX[  
{}vB# !  
3c#CEuu  
劫持sdk<=22设备
0a#2 Lo  
;NyX9&@  
l'_P]@*  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
mOLP77(o  
获取sdk>22顶层包名
l P4A?J+Q  
-Qs4 s  
|@}Yady@C  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
+) pO82  
5`$.GV  
9~6FWBt  
!y8/El  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
1^bI9 /  
钓鱼界面
_L?`C  
g;bfi{8s_  
提交用户输入
:{iS0qJ  
l8"  
piZ0KA"  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
yQ33JQr  
MKad 5gD*<  
MEOVw[hO  
[SluYmW  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 KL2#Bm_  
T.1*32cX  
{8NnRnzU  
安全建议 *c\:ogd  
9-<EeV_/  
+V"t't7  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 -t92!O   
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 &dqC =oK]  
#6])\  
VA9" Au  
------------------------------------------------------------------- oW:p6d  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
级别: 新人
发帖
16
云币
24
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个