阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 6574阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 2Sa{=x N)  
g(X `.0  
)-1e} VF(U  

&+@`Si=  
背景 GTTEg{  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 T(Q ~b  
"= %"@"<)  
0wNlt#G;{  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 bo90;7EK8  
2[3t7C  
w{dRf!b69  
木马运行流程如下: %Rf9 KQ  
b?KdR5  
,G46i)E\  
=v::N\&  
&PL=nI\)  
是否触发恶意代码 \+sa[jK  
L5zCL0j`  
g9JZ#BgZ  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
k) Lhzr[  
XKZsX1=@R  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 '6){~ee S  
X[tB^`  
Kf[.@_TD<1  
CC"a2Hu/  
核心服务 x+za6e_k"  
v@GhwL  
?t6wozib2  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
[sk n9$  
8]vut{  
\6/ Gy!0h-  
下图上传木马运行环境
/ivVqOo  
上传设备状态
vdgK3I  
|:#Ug  
T{^mh(3/"  
上传已安装银行app
S& IW]ffK  
c u";rnj  
s#a`e]#?  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| P/[RH e  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 N;-%:nC  
J!~kqNI  
hO3 q|SL  
随后C&C端返回控制指令,指令解析如下。
aN*{nW  
sm{0o$\Z  
2BF455e   
sxRKWM@4  
6A.%)whI;  
劫持分析 &{<hY|%  
| Z7 j s"  
y5aPs z  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 v,QvCozOz  
v%2Dz  
l"`VvW[  
 03zt^<  
^;s/4  
另外的一些钓鱼界面。
z>,tP  
Hu6Qr  
L'KKU4zj  
M"p%CbcI]  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: $")Gd@aR  
at.bawag.mbanking V;CRs\aYf  
at.easybank.mbanking K2n#;fY %  
at.spardat.netbanking >iK LC  
at.volksbank.volksbankmobile `\"<%CCe  
com.rbs.mobile.android.rbs J> ,w},`  
com.isis_papyrus.raiffeisen_pay_eyewdg "m6G;cv  
*6AqRE  
LfW:G5@-  
au.com.bankwest.mobile l4taD!WD/  
au.com.ingdirect.android ) ] Ro  
au.com.nab.mobile  HRbv%  
com.commbank.netbank keD?#yY  
org.banksa.bank >)*d/^  
org.stgeorge.bank @Z#h?:  
org.westpac.bank a[j]fv*6  
baTd;`Pn  
z!b:|*m]w  
com.db.mm.deutschebank 2g5 4<G*e  
com.barclays.android.barclaysmobilebanking yk4py0xVl  
com.starfinanz.mobile.android.dkbpushtan <v_Wh@m  
com.starfinanz.smob.android.sbanking nwfu@h0G  
com.starfinanz.smob.android.sfinanzstatus T1Z*>(M  
de.adesso.mobile.android.gad #"TYk@whWf  
de.comdirect.android jjEu  
de.commerzbanking.mobil jp~Tlomp  
de.consorsbank 9+<A7PM1T  
de.dkb.portalapp Z vC?F=tH  
de.fiducia.smartphone.android.banking.vr :iE`=( o  
de.ing_diba.kontostand !U2<\!_  
de.postbank.finanzassistent p(4B"[!S  
mobile.santander.de Vx5fQ mx  
v5?)J91  
,SdxIhL  
com.IngDirectAndroid vg X7B4  
com.arkea.android.application.cmb `e7vSp  
com.arkea.android.application.cmso2 A4d3hF~l`  
com.boursorama.android.clients n++ak\  
com.cacf.MonCACF +5R8mbD!  
com.caisseepargne.android.mobilebanking kDQE*o  
com.cic_prod.bad g.;2N9  
com.cm_prod.bad y9@j-m&  
com.fullsix.android.labanquepostale.accountaccess &io+*  
com.groupama.toujoursla ?/@XJcm+  
com.lbp.peps i~<.@&vt  
com.macif.mobile.application.android 2t?>0)*m  
com.ocito.cdn.activity.creditdunord 9-1'jNV  
fr.axa.monaxa "9*MSsU  
fr.banquepopulaire.cyberplus EUgKJ=jw  
fr.banquepopulaire.cyberplus.pro /Gb)BJk!  
fr.creditagricole.androidapp t v`c" Pb  
fr.lcl.android.customerarea UIIsgNca  
fr.lemonway.groupama v-!Spf  
mobi.societegenerale.mobile.lappli tdu:imH~  
net.bnpparibas.mescomptes KNP^k$=)3c  
md\Vw?PkU  
N0K <zxR  
com.comarch.mobile 1guiuR4  
com.getingroup.mobilebanking 9&B #@cw  
com.konylabs.cbplpat .ubZ  
eu.eleader.mobilebanking.pekao _IxYnm`pc  
eu.eleader.mobilebanking.raiffeisen CA$|3m9)NM  
pl.bzwbk.bzwbk24 v`7~#Avhz  
pl.bzwbk.mobile.tab.bzwbk24 PCc{0Rp\vk  
pl.eurobank wYv++< z  
pl.ing.ingmobile dd6l+z  
pl.mbank 6HVX4Z#VH  
pl.pkobp.iko E( *CEW.V*  
wit.android.bcpBankingApp.millenniumPL 1^WkW\9kO  
c,G[Rk  
zE}ry!{  
com.akbank.android.apps.akbank_direkt >oAXS\Ts  
com.finansbank.mobile.cepsube =C)2DWJ1  
com.garanti.cepsubesi 9:E.Iy  
com.pozitron.iscep pYUQSsqC  
com.tmobtech.halkbank 1u }2}c|  
com.vakifbank.mobile W<~u0AyO 3  
com.ykb.android S[&yO-=p6  
com.ziraat.ziraatmobil 9!Fg1 h=  
fLkC|  
`w "ooK  
ca.bnc.android ZNDjk  
com.americanexpress.android.acctsvcs.us NZXCaciG  
com.chase.sig.android es$<Vkbp  
com.cibc.android.mobi  6\QsK96_  
com.citi.citimobile  SmAF+d  
com.clairmail.fth uxW<Eh4H*  
com.coinbase.android AC?a:{ ./  
com.creditkarma.mobile J b7^'P  
com.discoverfinancial.mobile gm: xtN  
com.fi9228.godough 7U&<{U<  
com.firstpremier.mypremiercreditcard v/Xz.?a\jF  
com.infonow.bofa &?9~e>.OS  
com.jpm.sig.android 9N<TJp,q  
com.moneybookers.skrillpayments `2G%&R,k"D  
com.paybybank.westernunion 4(8BWP~.y2  
com.paypal.android.p2pmobile  S^5Qhv  
com.pnc.ecommerce.mobile 0y;1D k!  
com.suntrust.mobilebanking Dv=pX.Z+  
com.tdbank _J_QB]t  
com.td gJOD+~  
com.transferwise.android `] Zil8n  
com.unionbank.ecommerce.mobile.android iis}=i7|  
com.usaa.mobile.android.usaa ,e*WJh8k[  
com.usb.cps.axol.usbc 9_%??@^>  
com.wf.wellsfargomobile L5]uT`Twa  
me.doubledutch.rbccapitalmarkets Tnnj8I1v  
s`dUie}y<  
Okd7ua-f  
劫持sdk<=22设备
D.w6/DxaXa  
mqQC`Aqx:  
8iUKG  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
}Q;^C  
获取sdk>22顶层包名
D+4$l+\u  
W`jKe-jF  
AK$i0Rn;pm  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
JuR x>F4  
p $,ZYF~  
]/?$DNjCc  
yO J|t#  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
6LzN#g  
钓鱼界面
ua%j}%G(  
9G{#a#Z.  
提交用户输入
%u*HNo  
_j\ 8u`^n  
na] 9-~4  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
Xcci)",!  
\`>f?}4  
249DAjn+  
d PF*G$  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 3^Z@fC  
Z67'/z$0  
_>Oc> .MB  
安全建议 n6#z{,W<3  
f(*iagEy  
/k=k rAz.  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 U{8x.CJ]  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 .|2[! 7CXH  
)$QZ",&5  
LOe l6Ui  
------------------------------------------------------------------- jFwJ1W;?-  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 74 + 15 = ?
上一个 下一个