阿里云
发表主题 回复主题
  • 5900阅读
  • 2回复

[安全漏洞公告专区]警惕一大波银行类木马正在靠近,新型BankBot木马解析

发帖
107
云币
373
— 本帖被 不靠谱贝贝 执行置顶操作(2017-03-21) —
作者:逆巴@阿里聚安全 BR_fOIDc  
_^`V0>Mh:  
rQJ\Y3.  

`C$QR 8  
背景 ZE= Yn~XM  
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 b|;h$otC  
e}P@7e  h  
\ H#"  
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 G]{^.5  
>_G'o  
=''b`T$  
木马运行流程如下: ,el[A`b  
h%NM%;"H/  
t OxH9  
b TZ.y.sI  
,}"jiGgS4  
是否触发恶意代码 71ab&V il  
I6gduvkXi4  
GV28&!4sS  
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
mdo$d-d&  
4tx6h<L#s  
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 ]0[ot$Da6  
"Nz@jv?  
*OIBMx#qxn  
zSu,S4m_;  
核心服务 Qw }1mRv  
Mn<s9ITS-  
?Zk;NL9  
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
jA[")RVG  
JAI.NKB3  
D*?LcxX  
下图上传木马运行环境
]*Q,~uV^|  
上传设备状态
H* +7{;$  
jW-;Y/S  
zMBGpqdP  
上传已安装银行app
6l &!4r@}  
-P&uY`  
Jf\`?g3#  
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| V<;_wO^  
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 T:9M|mD  
0vBQzM Q  
IiE^HgM  
随后C&C端返回控制指令,指令解析如下。
O=lRI)6w@e  
01uj-!D$@  
C>mFylN  
{fX~%%c"  
s0/m qZ]s  
劫持分析 U>m{B|H  
.tyV =B:h  
8G|?R#&  
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 6d2e WS  
i[{*(Y$L  
lA;^c)  
'zT7$ .L  
1 XJZuv,T:  
另外的一些钓鱼界面。
pF8:?p['z  
p>:.js5.a  
BI<9xl]a  
^P/OHuDL  
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: (x.qyYEoI  
at.bawag.mbanking NLYf   
at.easybank.mbanking gTB|IcOs  
at.spardat.netbanking 8x7TK2r  
at.volksbank.volksbankmobile 99,=dzm  
com.rbs.mobile.android.rbs fQg^^ZXe"  
com.isis_papyrus.raiffeisen_pay_eyewdg /6yVbo"  
S1'?"zAmd  
m(kv:5<>  
au.com.bankwest.mobile j \d)#+;  
au.com.ingdirect.android K V?+9qa,  
au.com.nab.mobile 6"}F KRR  
com.commbank.netbank R%)F9P$o  
org.banksa.bank 7!m<d,]N  
org.stgeorge.bank 5nceOG8  
org.westpac.bank Z("N *`VP;  
qt"6~r!  
]W~M?1 }  
com.db.mm.deutschebank |UQ [pas  
com.barclays.android.barclaysmobilebanking wc"~8Ah  
com.starfinanz.mobile.android.dkbpushtan *`/4KMrq  
com.starfinanz.smob.android.sbanking j> dZ26 >N  
com.starfinanz.smob.android.sfinanzstatus oY,{9H37b  
de.adesso.mobile.android.gad t U~q4$qqE  
de.comdirect.android VsK8:[Al  
de.commerzbanking.mobil T-kHk(  
de.consorsbank [)I W9E v  
de.dkb.portalapp !,5qAGi0  
de.fiducia.smartphone.android.banking.vr iXXaB +w  
de.ing_diba.kontostand K]7[|qf&   
de.postbank.finanzassistent SNSoV3|k-  
mobile.santander.de VAyAXN~  
4 EA$<n(A-  
,lFzL3'_0x  
com.IngDirectAndroid dWwb}r(ky  
com.arkea.android.application.cmb r( wtuD23q  
com.arkea.android.application.cmso2 z\K %  
com.boursorama.android.clients 1L\r:mx3  
com.cacf.MonCACF a8k`Wog  
com.caisseepargne.android.mobilebanking _@y9=e  
com.cic_prod.bad q1r-xsjV=  
com.cm_prod.bad fJ\ u8  
com.fullsix.android.labanquepostale.accountaccess j0 Os]a  
com.groupama.toujoursla d+ $:u  
com.lbp.peps \lDh"  
com.macif.mobile.application.android {%, 4P_m  
com.ocito.cdn.activity.creditdunord #Wb4*  
fr.axa.monaxa b0se-#+  
fr.banquepopulaire.cyberplus wp4  .~E  
fr.banquepopulaire.cyberplus.pro v6=X]Ji{YA  
fr.creditagricole.androidapp rploQF~OFF  
fr.lcl.android.customerarea zd F;!  
fr.lemonway.groupama 9 uX 15a  
mobi.societegenerale.mobile.lappli uo|:n"v  
net.bnpparibas.mescomptes 4)L};B=  
EgzdRB\Cf  
a/%qn-i|p  
com.comarch.mobile _Ii=3Qsf  
com.getingroup.mobilebanking wW<u)|>ye  
com.konylabs.cbplpat 0+e 0<'  
eu.eleader.mobilebanking.pekao M%SNq|Lo  
eu.eleader.mobilebanking.raiffeisen 2G3Hi;q18  
pl.bzwbk.bzwbk24 I: MrX  
pl.bzwbk.mobile.tab.bzwbk24 :."+&gb  
pl.eurobank }XCh>LvX  
pl.ing.ingmobile eOZ~p  
pl.mbank ##1/{9ywy  
pl.pkobp.iko xz +;1JAL3  
wit.android.bcpBankingApp.millenniumPL Sj8fo^K50  
p}X *HJq$  
d9T:0A`M  
com.akbank.android.apps.akbank_direkt <si cldz  
com.finansbank.mobile.cepsube =<ht@-1  
com.garanti.cepsubesi 6eNBldP!  
com.pozitron.iscep FL0yRF5  
com.tmobtech.halkbank xa{.hp?  
com.vakifbank.mobile 'P%&*%  
com.ykb.android 9wdX#=I  
com.ziraat.ziraatmobil sLK$H|%>m  
{L M Q  
C MGDg}  
ca.bnc.android /6 y;fx  
com.americanexpress.android.acctsvcs.us T@n};,SQ  
com.chase.sig.android `vf]C'  
com.cibc.android.mobi H8Z|gq1r  
com.citi.citimobile )31xl6@  
com.clairmail.fth Go[anf  
com.coinbase.android 1Z_ H% (  
com.creditkarma.mobile 5 <7sVd.  
com.discoverfinancial.mobile > V >GiSni  
com.fi9228.godough Nlu]f-i':  
com.firstpremier.mypremiercreditcard G P ' -  
com.infonow.bofa >#Bu [nD%  
com.jpm.sig.android +zl [C  
com.moneybookers.skrillpayments q3GkfgY  
com.paybybank.westernunion hE4qs~YB!  
com.paypal.android.p2pmobile z|$9%uz"  
com.pnc.ecommerce.mobile \[wbJ  
com.suntrust.mobilebanking d8p5a C+E  
com.tdbank I(Vg  
com.td pK0@H"$8  
com.transferwise.android 9)4_@rf%  
com.unionbank.ecommerce.mobile.android +Y>oNX1KN  
com.usaa.mobile.android.usaa bb-u'"5^]  
com.usb.cps.axol.usbc Z,8t!Y  
com.wf.wellsfargomobile va0}?fy.O%  
me.doubledutch.rbccapitalmarkets J58S8:c  
| S'mF6Y  
?^`fPH=  
劫持sdk<=22设备
r5N H*\Q  
Fj"/jdM  
;ssI8\LG  
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
4Ofkagg  
获取sdk>22顶层包名
D?4bp'0 3  
.sKfwcYu4  
Jw{ duM;]  
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
 Af`Tr6)  
er3`ITp:dp  
$  k_6  
?MS!t6  
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
`O0y8  
钓鱼界面
#G=AD/z  
[ B*r{  
提交用户输入
i>dFpJ  
p+y"r4   
R]0`-_T  
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
UKPr[  
dEW= V"W  
v7%}ey[  
#qeC)T  
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 {uJ"%  
lr@w1*  
VmRfnH"  
安全建议 A8Km8"  
po.QM/b \  
xC}'"``s  
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 N7YCg  
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 7 NnXt'  
7nP{a"4_  
m;L 3c(r.  
------------------------------------------------------------------- JVr8O`>T  
更多阿里安全类技术文章,请访问阿里聚安全官方博客
本帖最近评分记录: 1 条评分 云币 +1
姚永肇 云币 +1 阿里云优惠券领取:http://www.aliyunyh.com/ 05-30
级别: 小白
发帖
20
云币
28
只看该作者 沙发  发表于: 01-30
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
云盾真的很强大,我的网站原来有后门都帮我查出来了,然后我提交工单就给我解决了这个安全问题
级别: 小白
发帖
21
云币
26
只看该作者 板凳  发表于: 03-01
Re警惕一大波银行类木马正在靠近,新型BankBot木马解析
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个