阿里云
发表主题 回复主题
  • 4251阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 f<=Fe:1.  
GBQn_(b9I  
;;#`#v  

k;KdW P  
背景 L0"~[zB]N  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 MKg,!TELe  
RN9;kB)c  
"pvH0"Q*  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 OZ(dpV9.S  
: ]II-$/8  
ue{xnjw>U  
木马运行流程如下: h"W8N+e\  
-d=WV:G%e  
~ ?^/u8  
7o]HQ[xO  
WNy3@+@GZ  
是否触发恶意代码 go'j/4Tp  
'EhBRU%  
uY#TEjGh]  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
qoX@@xr1  
JL^2l$up  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 HdX2YPYn;  
K$[$4 dX]  
K=\O5#F?3  
K8[DZ)rO;Z  
核心服务 D E/:['  
I'!/[\_  
fiDl8=~@  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
(6gK4__}]  
<48<86TP  
sen=0SB/  
下图上传木马运行环境
WF2-$`x  
上传设备状态
zsQoU&D 5  
{2KFD\i\  
el PE%'  
上传已安装银行app
3HC  
svhI3"r  
!CY&{LEYn0  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| =:I+6PlF@  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 AC- )BM';  
DXR:1w[^  
$'wq1u  
随后C&C端返回控制指令,指令解析如下。
`` K#}3  
)%Iv[TB[  
K\?]$dK5  
42C<1@>zO  
{S.>BXX  
劫持分析 D-p.kA3MJ  
/n,a?Ft^N)  
Dl\`  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 nHXX\i  
EG<s_d?  
]$iqa"{  
#1nJ(-D+  
&2.u%[gO[q  
另外的一些钓鱼界面。
-G|a*^  
XP?rOOn  
?}P5p^6  
`)$_YZq|SR  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: Wd,a?31|  
at.bawag.mbanking }FqA ppr  
at.easybank.mbanking R W/z1  
at.spardat.netbanking qdD)e$XW,  
at.volksbank.volksbankmobile 1 OaXo!  
com.rbs.mobile.android.rbs (g!p>m!Z  
com.isis_papyrus.raiffeisen_pay_eyewdg $4=f+ "z  
G=9d&N  
!  NV#U  
au.com.bankwest.mobile Qx3eLfm  
au.com.ingdirect.android ?=Pd  
au.com.nab.mobile Rd*[%)  
com.commbank.netbank ?uLeFD  
org.banksa.bank ]2SI!Ai7  
org.stgeorge.bank )u:Q) %$t  
org.westpac.bank je,}_:7  
,T,:-E  
v6(E3)J7  
com.db.mm.deutschebank F'RUel_%  
com.barclays.android.barclaysmobilebanking >p\e 0n  
com.starfinanz.mobile.android.dkbpushtan L:nXWz  
com.starfinanz.smob.android.sbanking \K2*Q&>  
com.starfinanz.smob.android.sfinanzstatus Y$>-%KcKeI  
de.adesso.mobile.android.gad :*514N  
de.comdirect.android  (t^n'V  
de.commerzbanking.mobil 7j<e)"  
de.consorsbank 8,T4lb<<  
de.dkb.portalapp ,~PYt*X4  
de.fiducia.smartphone.android.banking.vr c~}l8M %  
de.ing_diba.kontostand t0&@h\K  
de.postbank.finanzassistent lJ;J~>  
mobile.santander.de w&h 2y4  
ff? t[GS  
={2!c0s  
com.IngDirectAndroid SUCU P<G  
com.arkea.android.application.cmb q Dd~2"er  
com.arkea.android.application.cmso2 iO w3MfO  
com.boursorama.android.clients unl1*4e+  
com.cacf.MonCACF V)M1YZV{  
com.caisseepargne.android.mobilebanking % ~ ]xuP[  
com.cic_prod.bad y8Xv~4qQW  
com.cm_prod.bad -!M,75nU  
com.fullsix.android.labanquepostale.accountaccess rt7<Q47QE  
com.groupama.toujoursla I_)*)d44_  
com.lbp.peps  cc=gCE  
com.macif.mobile.application.android hi2sec|;<  
com.ocito.cdn.activity.creditdunord \BV 0zKd  
fr.axa.monaxa le)DgIT>=  
fr.banquepopulaire.cyberplus +%>:0mT  
fr.banquepopulaire.cyberplus.pro |[xi/Q^7  
fr.creditagricole.androidapp f'(l&/4z{  
fr.lcl.android.customerarea NUJ~YWO;  
fr.lemonway.groupama V~MiO.B  
mobi.societegenerale.mobile.lappli XE3aXK'R  
net.bnpparibas.mescomptes q0mOG^  
l3o#@sz:  
sd re#@n}  
com.comarch.mobile 0'Z\O   
com.getingroup.mobilebanking e&q?}Ho  
com.konylabs.cbplpat Iry  
eu.eleader.mobilebanking.pekao `s#Hq\C  
eu.eleader.mobilebanking.raiffeisen :\~+#/=:  
pl.bzwbk.bzwbk24 ;;s* Ohh  
pl.bzwbk.mobile.tab.bzwbk24 @ez Tbc3  
pl.eurobank H4-qB Z'  
pl.ing.ingmobile E4.SF|=x  
pl.mbank h~Q)Uy5N(D  
pl.pkobp.iko +#J,BKul  
wit.android.bcpBankingApp.millenniumPL ~}ml*<z@  
bF}V4"d,B3  
Fig&&b a  
com.akbank.android.apps.akbank_direkt qk(P>q8[  
com.finansbank.mobile.cepsube ]<uQ.~  
com.garanti.cepsubesi hPhZUL%  
com.pozitron.iscep ,SlN zR  
com.tmobtech.halkbank U!w1AY|  
com.vakifbank.mobile lG<hlYckv  
com.ykb.android ^t "iX9  
com.ziraat.ziraatmobil oT95^y\9  
&sVvWNO#2  
@+,pN6}g  
ca.bnc.android BfTcI)  
com.americanexpress.android.acctsvcs.us ]1-z! B4K  
com.chase.sig.android 9~IQw#<  
com.cibc.android.mobi vdoZ&Tu  
com.citi.citimobile Eu<1Bse;  
com.clairmail.fth O  OFVnu  
com.coinbase.android xh@-g|+g  
com.creditkarma.mobile $.St ej1  
com.discoverfinancial.mobile 5-u=o )>  
com.fi9228.godough :B *}^g  
com.firstpremier.mypremiercreditcard 6"j_iB  
com.infonow.bofa '8FC<=+p[  
com.jpm.sig.android wgeNs9L  
com.moneybookers.skrillpayments o@>? *=  
com.paybybank.westernunion rPzQ8<  
com.paypal.android.p2pmobile <pLT'Y=  
com.pnc.ecommerce.mobile hm$X]H`uMX  
com.suntrust.mobilebanking  Wa/g`}  
com.tdbank DmqX"x%P  
com.td Mc sTe|X  
com.transferwise.android n;XWMY  
com.unionbank.ecommerce.mobile.android 1r[@(c0  
com.usaa.mobile.android.usaa j|.} I  
com.usb.cps.axol.usbc `RQ#.   
com.wf.wellsfargomobile 0CvsvUN@  
me.doubledutch.rbccapitalmarkets iyx>q!P  
][PzgzG  
5R MS(  
劫持sdk<=22设备
d4[(8} x$/  
8am`6;O:!  
4NEq$t$Jn  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
3ucP(Ex@tg  
获取sdk>22顶层包名
)+I.|5g  
>PKBo  
7;`o( [N  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
> Vb@[  
yWPIIWHx!  
tEd.'D8 s  
5,"l0nrk  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
%rQuBi# 1f  
钓鱼界面
qL5I#?OMkU  
|8_JY2 R  
提交用户输入
|rRO@18dA  
5vzceQE}  
!X >=l  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
)-rW&"{U  
$ 0|a;  
;Z[]{SQ  
wJb#g0  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 SM0M%  
{'+Q H)w(  
1&=0Wg0ig  
安全建议 eg+!*>GaX  
u#7+U\  
2],_^XBvB  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 tL SN`6[:  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 1x J TWWj-  
7)rWw<mY  
o;"OSp  
------------------------------------------------------------------- iJFs0?*  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个