新空间航天 NEWSPACE
技术周刊订阅频道
发表主题 回复主题
级别: 论坛版主
发帖
227
云币
443

作者:逆巴@阿里聚安全 
 
 

 
背景 
安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。 
 
 
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统 
 
 
木马运行流程如下: 
 
 
 
 
是否触发恶意代码 
 
 
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
 
 
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。 
 
 
 
核心服务 
 
 
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务
 
 
 
下图上传木马运行环境
 
上传设备状态
 
 
 
上传已安装银行app
 
 
 
上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU| 
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。 
 
 
随后C&C端返回控制指令,指令解析如下。
 
 
 
 
 
劫持分析 
 
 
当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。 
 
 
 
 
另外的一些钓鱼界面。
 
 
 
 
受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等: 
at.bawag.mbanking 
at.easybank.mbanking 
at.spardat.netbanking 
at.volksbank.volksbankmobile 
com.rbs.mobile.android.rbs 
com.isis_papyrus.raiffeisen_pay_eyewdg 
 
 
au.com.bankwest.mobile 
au.com.ingdirect.android 
au.com.nab.mobile 
com.commbank.netbank 
org.banksa.bank 
org.stgeorge.bank 
org.westpac.bank 
 
 
com.db.mm.deutschebank 
com.barclays.android.barclaysmobilebanking 
com.starfinanz.mobile.android.dkbpushtan 
com.starfinanz.smob.android.sbanking 
com.starfinanz.smob.android.sfinanzstatus 
de.adesso.mobile.android.gad 
de.comdirect.android 
de.commerzbanking.mobil 
de.consorsbank 
de.dkb.portalapp 
de.fiducia.smartphone.android.banking.vr 
de.ing_diba.kontostand 
de.postbank.finanzassistent 
mobile.santander.de 
 
 
com.IngDirectAndroid 
com.arkea.android.application.cmb 
com.arkea.android.application.cmso2 
com.boursorama.android.clients 
com.cacf.MonCACF 
com.caisseepargne.android.mobilebanking 
com.cic_prod.bad 
com.cm_prod.bad 
com.fullsix.android.labanquepostale.accountaccess 
com.groupama.toujoursla 
com.lbp.peps 
com.macif.mobile.application.android 
com.ocito.cdn.activity.creditdunord 
fr.axa.monaxa 
fr.banquepopulaire.cyberplus 
fr.banquepopulaire.cyberplus.pro 
fr.creditagricole.androidapp 
fr.lcl.android.customerarea 
fr.lemonway.groupama 
mobi.societegenerale.mobile.lappli 
net.bnpparibas.mescomptes 
 
 
com.comarch.mobile 
com.getingroup.mobilebanking 
com.konylabs.cbplpat 
eu.eleader.mobilebanking.pekao 
eu.eleader.mobilebanking.raiffeisen 
pl.bzwbk.bzwbk24 
pl.bzwbk.mobile.tab.bzwbk24 
pl.eurobank 
pl.ing.ingmobile 
pl.mbank 
pl.pkobp.iko 
wit.android.bcpBankingApp.millenniumPL 
 
 
com.akbank.android.apps.akbank_direkt 
com.finansbank.mobile.cepsube 
com.garanti.cepsubesi 
com.pozitron.iscep 
com.tmobtech.halkbank 
com.vakifbank.mobile 
com.ykb.android 
com.ziraat.ziraatmobil 
 
 
ca.bnc.android 
com.americanexpress.android.acctsvcs.us 
com.chase.sig.android 
com.cibc.android.mobi 
com.citi.citimobile 
com.clairmail.fth 
com.coinbase.android 
com.creditkarma.mobile 
com.discoverfinancial.mobile 
com.fi9228.godough 
com.firstpremier.mypremiercreditcard 
com.infonow.bofa 
com.jpm.sig.android 
com.moneybookers.skrillpayments 
com.paybybank.westernunion 
com.paypal.android.p2pmobile 
com.pnc.ecommerce.mobile 
com.suntrust.mobilebanking 
com.tdbank 
com.td 
com.transferwise.android 
com.unionbank.ecommerce.mobile.android 
com.usaa.mobile.android.usaa 
com.usb.cps.axol.usbc 
com.wf.wellsfargomobile 
me.doubledutch.rbccapitalmarkets 
 
 
劫持sdk<=22设备
 
 
 
下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。
 
获取sdk>22顶层包名
 
 
 
如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。
 
 
 
 
分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。
 
钓鱼界面
 
 
提交用户输入
 
 
 
该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。
 
 
 
 
攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。 
 
 
安全建议 
 
 
1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色 情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。 
2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 
 
 
------------------------------------------------------------------- 
您好!没有相关评论,请您浏览其它内容!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 

验证问题: 搜寻云提供的什么服务? 正确答案:云服务器
上一个 下一个