资讯专栏INFORMATION COLUMN

警惕一大波银行类木马正在靠近,新型BankBot木马解析

mengbo / 985人阅读

摘要:就在近期,阿里聚安全检测到大量新型家族木马,木马伪装成等应用,可劫持全球至少家大型银行手机用户。如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。

背景

来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。

特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。

木马运行流程如下:

是否触发恶意代码

BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。

该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。

核心服务

控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:

强制激活设备管理;

上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;

服务端下发指令实施远程控制;

启动劫持服务

下图上传木马运行环境

↑ 上传设备状态

↑ 上传已安装银行app

上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2|AlfaB_RU|
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。

随后C&C端返回控制指令,指令解析如下。

劫持分析

当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。

另外的一些钓鱼界面。

受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等:

at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank

com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de

com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes

com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil

ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets

↑ 劫持sdk<=22设备

下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。

↑ 获取sdk>22顶层包名

如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。

分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。

↑ 钓鱼界面

↑ 提交用户输入

该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。

攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。

安全建议

用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。


作者:逆巴@阿里聚安全

更多阿里安全类技术文章,请访问阿里聚安全官方博客

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11220.html

相关文章

  • AVPass技术分析:银行劫持病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

    摘要:经钱盾反诈实验室研究发现,该批恶意应用属于新型。可信应用商店绕过杀毒引擎,这样病毒自然能轻松入侵用户手机。安全建议建议用户安装钱盾等手机安全软件,定期进行病毒扫描。 背景近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在...

    William_Sang 评论0 收藏0
  • 从Google Play下载应用并不安全,上千款监视软件伪装其中

    摘要:月同时,约有百万用户在谷歌应用商店里感染了恶意软件,它隐藏在超过多个流行的游戏中,例如。近日安全研究者发现在第三方应用市场和谷歌应用商店存在上千款恶意伪装软件。是如何工作的首先上传至谷歌应用市场,伪装成名为的通信工具。 如果你认为在官方应用市场里下载app就觉得安全的话,小编可以负责任的回答你:too young too simple,sometimes native 今年4月,Ban...

    Miyang 评论0 收藏0
  • 2016 钱盾安全报告(8月版)

    摘要:信息泄漏严重,诈骗金额一路上升年至年上半年,根据钱盾监控的案件数据表明,单次诈骗金额逐月上涨,从元上涨到元,上涨。详细版钱盾安全报告版,请点击这里下载下载地址 一、摘要 近年来电信诈骗案件频发,从2011年至2015年,全国电信诈骗案件数量从10万件飙升至约60万件。而在今年,电信诈骗的数量依然在上升,政府部门在各种公开场合强调必须依法严厉打击,减少其对人民群众财产安全和合法权益的损害...

    RichardXG 评论0 收藏0
  • 新型Android恶意软件窃取378个银行和钱包应用程序的财务数据

    摘要:与其前身和其他银行恶意软件一样,旨在窃取联系信息短信打开任意应用程序,并触发针对众多金融应用程序的覆盖,以窃取登录凭据。此外,它还开发了新功能,允许恶意软件清除特定应用程序的缓存,并窃取存储在设备上的帐户。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflo...

    ruicbAndroid 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<