阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 2995阅读
  • 0回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
371
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 `O'`eY1f  
-kbg\,PW  
/a6Xa&(B  

6]-SK$  
背景 Afk$?wkL  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 t'ZWc\  
B2ec@]uD`  
SB)5@ nmS  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 hdVdcnM  
Qqlup  
NssELMtF!g  
木马运行流程如下: W2.qhY5  
@/ k@WhFZ  
 @Pt="*g  
`:axzCrCfR  
yBI'djL~>  
是否触发恶意代码 -I=l8m6L  
Q f@  
N$[{8yil^w  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
+!|9hF'  
2p " WTd  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 F;]%V%F.X  
]KmO$4  
h*v8#\b$J_  
#f+$Ddg*  
核心服务 ? YG)I;(  
RU\/j%^  
[Vma^B$7Vj  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
r9dyA5oD  
K>{T_){  
(P$H<FtH  
下图上传木马运行环境
&#iTQD  
上传设备状态
V 0rZz  
yNTK .  
L+i(TM=  
上传已安装银行app
r3PT1'P?L  
m|G'K[8  
is-7 j7;  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| GmP@;[H"  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 1aTB%F  
V=*wKuB  
>m$ 1+30X  
随后C&C端返回控制指令,指令解析如下。
SBS3?hw  
Dg?:/=,=9r  
t)}scf&^x  
:n-]>Q>5=k  
~5oPpTAe  
劫持分析 PGoh1Uu  
K9up:.{QQ  
AQwdw>I-FX  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 _+E5T*dk  
LBZ+GB  
e\:+uVzz  
Zo~  
BNs@n"k  
另外的一些钓鱼界面。
Xx>X5Fy  
  #^A*  
?BZPwGMs  
SR |`!  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: '?p<lu^^B  
at.bawag.mbanking @y\X R  
at.easybank.mbanking _dhgAx-H)h  
at.spardat.netbanking !*B'?|a<\  
at.volksbank.volksbankmobile b?lD(fa&  
com.rbs.mobile.android.rbs 7\s"o&G  
com.isis_papyrus.raiffeisen_pay_eyewdg wMg0>  
7%|~>  
sW'2+|3"  
au.com.bankwest.mobile DrY:9[LP  
au.com.ingdirect.android 7 *`h/  
au.com.nab.mobile Ku} Z  
com.commbank.netbank 9 %I?).5  
org.banksa.bank (G;l x  
org.stgeorge.bank NRIG1v>  
org.westpac.bank 9\mLW"  
]rH\`0  
QLiu2U o  
com.db.mm.deutschebank m4hg'<<V  
com.barclays.android.barclaysmobilebanking S79;^X  
com.starfinanz.mobile.android.dkbpushtan FE (ev 9@  
com.starfinanz.smob.android.sbanking afuOeZP  
com.starfinanz.smob.android.sfinanzstatus lJ}_G>GJ  
de.adesso.mobile.android.gad RbP6F*f  
de.comdirect.android bU2Z[sn.  
de.commerzbanking.mobil 9CWF{"  
de.consorsbank bB1UZ O  
de.dkb.portalapp aJbO((%$|u  
de.fiducia.smartphone.android.banking.vr 2a`o &S  
de.ing_diba.kontostand mpU$ +  
de.postbank.finanzassistent ^cP!\E-^  
mobile.santander.de 9.gXzP H  
i]YV {  
8<pzb}xK  
com.IngDirectAndroid vgH3<pDiU6  
com.arkea.android.application.cmb "$+Jnc!!  
com.arkea.android.application.cmso2 c1k/UcEcg~  
com.boursorama.android.clients _VRpI)mu  
com.cacf.MonCACF hIs4@0  
com.caisseepargne.android.mobilebanking QkEvw<  
com.cic_prod.bad )NXmn95  
com.cm_prod.bad nYR#  
com.fullsix.android.labanquepostale.accountaccess dJeNbVd  
com.groupama.toujoursla {JZZZY!n2  
com.lbp.peps Ai=s e2  
com.macif.mobile.application.android Lsq A**=  
com.ocito.cdn.activity.creditdunord P;=n9hgHI  
fr.axa.monaxa AS'R?aX|C  
fr.banquepopulaire.cyberplus u~7hWiY<2  
fr.banquepopulaire.cyberplus.pro 9kN}c<o  
fr.creditagricole.androidapp R_W+Ylob  
fr.lcl.android.customerarea ?I_s0k I  
fr.lemonway.groupama "}u.v?HYz  
mobi.societegenerale.mobile.lappli 8=B|C'>  
net.bnpparibas.mescomptes nBjqTud  
&=Ar  
m4hX 'F  
com.comarch.mobile Q]Y*K  
com.getingroup.mobilebanking &S{RGXj_  
com.konylabs.cbplpat twL3\ }N/B  
eu.eleader.mobilebanking.pekao fxgPhnaC>  
eu.eleader.mobilebanking.raiffeisen ]fx"4qKM  
pl.bzwbk.bzwbk24 f2Klt6"9  
pl.bzwbk.mobile.tab.bzwbk24 T6O::o6  
pl.eurobank W98i[Q9A7  
pl.ing.ingmobile >:AARx%  
pl.mbank *xx'@e|<;  
pl.pkobp.iko *g:4e3Iy  
wit.android.bcpBankingApp.millenniumPL kw >v:F<M  
dsb`xw  
3 R=,1<  
com.akbank.android.apps.akbank_direkt q}`${3qQ3  
com.finansbank.mobile.cepsube zvYq@Mhr  
com.garanti.cepsubesi b*;Si7-  
com.pozitron.iscep 7,U=Qe;  
com.tmobtech.halkbank B-?6M6#  
com.vakifbank.mobile nF54tR[  
com.ykb.android WK ts[Z  
com.ziraat.ziraatmobil 6LOnU~l,  
d?s<2RkPT  
_7Rr=_1}  
ca.bnc.android }6p@lla,%]  
com.americanexpress.android.acctsvcs.us ;;_,~pI?k  
com.chase.sig.android fV &KM*W*@  
com.cibc.android.mobi T}Km?d  
com.citi.citimobile G! ]k#.^A,  
com.clairmail.fth j| v%)A  
com.coinbase.android j2Cks_$:  
com.creditkarma.mobile >QjAoDVX?  
com.discoverfinancial.mobile 8UW^"4  
com.fi9228.godough (X $=Q6  
com.firstpremier.mypremiercreditcard ?zeJ#i  
com.infonow.bofa ebm])~ZL  
com.jpm.sig.android T_s _p  
com.moneybookers.skrillpayments j5K]CTz#  
com.paybybank.westernunion -d~4A  
com.paypal.android.p2pmobile E=jNi  
com.pnc.ecommerce.mobile O- ew%@_  
com.suntrust.mobilebanking OglEt["  
com.tdbank p6 ]7&{>  
com.td f1`gdQ)H  
com.transferwise.android t#Z-mv:(  
com.unionbank.ecommerce.mobile.android .Obw|V-  
com.usaa.mobile.android.usaa A'j;\ `1  
com.usb.cps.axol.usbc cWEE%  
com.wf.wellsfargomobile XF Patd  
me.doubledutch.rbccapitalmarkets Ozw;(fDaU  
;'?l$ ._  
ZO!I.  
劫持sdk<=22设备
?{\nf7Y  
SHvq.lYJ  
+vYoB$!  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
|S_T^'<W  
获取sdk>22顶层包名
;,$NAejgd  
1LqoF{S:  
*-+&[P]m  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
n1qQ+(xC  
iocI:b <  
NS9B[*"Jl  
kd=GCO  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
b_,|>U  
钓鱼界面
stG~AC  
aiQ>xen5C5  
提交用户输入
Tu@8}C  
3b*cU}go  
XOxr?NPQ^  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
T:t]"d}}  
tna .52*/  
9!f/aI  
cmBB[pk\  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 R#xCkl-  
A54N\x,  
.EpV;xq}  
安全建议 {SwQ[$k=_  
bnm P{Ps  
@*}D$}aR'V  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 /nyUG^5#{  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 uJOJ-5}yt  
%F\?R[^5  
+IrLDsd  
------------------------------------------------------------------- _=+V/=  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 95 - 25 = ?
上一个 下一个