资讯专栏INFORMATION COLUMN

AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

William_Sang / 947人阅读

摘要:经钱盾反诈实验室研究发现,该批恶意应用属于新型。可信应用商店绕过杀毒引擎,这样病毒自然能轻松入侵用户手机。安全建议建议用户安装钱盾等手机安全软件,定期进行病毒扫描。

背景
近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,之前主要针对欧洲国家,可劫持50多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

那么新型BankBot是怎么再次入侵用户手机?
能上架应用商店和入侵用户手机,BankBot使用了AVPass技术,包括针对静态分析和动态沙盒的逃逸,这样成功绕过大多数杀毒引擎。可信应用商店+绕过杀毒引擎,这样病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是如何规避杀毒引擎,病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近,新型BankBot木马解析》。

AVPass分析
1、使用成熟的AVPass技术,可绕过反病毒检测系统
病毒AvPass工作流程图如下:

Binary Obfuscation

混淆自身特征,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,随后使用加固技术,将恶意dex打包加密。处理后的app如下图:

2、对抗动态沙盒
通过自检测运行环境和增加用户行为交互对抗沙盒,新型BankBot只有同时满足以下4条才会触发恶意行为:
运行在Android5.0以及以上设备
运行设备非俄罗斯、巴西、乌克兰用户
检测运行环境,若非真机环境将不会触发恶意行为
用户行为交互,点击按钮

下图运行设备检测

3、FCM远控,获取短信验证码
目前,各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后,还差动态短信,之前BankBot直接使用短信劫持,但这样杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架,利用FCM向指定设备发送指令数据,从而获取受害者短信验证码,也就是控制端在成功钓鱼后,通过FCM下发获取短信的指令,病毒读取最新短信,通过网络上传至控制端。下图整个攻击流程。

FCM下发的指令数据还包括:更新C&C地址、弹伪造的通知栏、界面劫持数据,其中弹伪造的通知栏和界面劫持都是BankBot的钓鱼手段。下图下发的指令数据。

攻击者一旦成功截获受害者银行账号、密码和短信动态验证码,将绕过银行双因素认证,这样受害者们不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机。

安全建议
1、建议用户安装钱盾等手机安全软件,定期进行病毒扫描。
2、切勿点击任何陌生链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。


作者:钱盾反诈实验室,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11266.html

相关文章

  • 从Google Play下载应用并不安全,上千款监视软件伪装其中

    摘要:月同时,约有百万用户在谷歌应用商店里感染了恶意软件,它隐藏在超过多个流行的游戏中,例如。近日安全研究者发现在第三方应用市场和谷歌应用商店存在上千款恶意伪装软件。是如何工作的首先上传至谷歌应用市场,伪装成名为的通信工具。 如果你认为在官方应用市场里下载app就觉得安全的话,小编可以负责任的回答你:too young too simple,sometimes native 今年4月,Ban...

    Miyang 评论0 收藏0
  • 警惕一大波银行木马正在靠近,新型BankBot木马解析

    摘要:就在近期,阿里聚安全检测到大量新型家族木马,木马伪装成等应用,可劫持全球至少家大型银行手机用户。如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。 背景 来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Go...

    mengbo 评论0 收藏0
  • 【专访吴恩达】百度人工智能杀毒,探索深度神经网络查杀技术

    摘要:根据百度的说法,这是全球首次将深度学习领域技术应用在客户端,独创了深度神经网络查杀技术。在过去,吴恩达说,百度用神经网络来帮助侦测广告。 吴恩达拿起他的手机,打开了脸优 app。他现在正位于硅谷公司的研究室。在办公桌边吃饭,谈话内容很自然地也涉及到人工智能。他是百度的首席科学家,同时也是斯坦福大学计算机系的教授。在其他搜索引擎仍在发展时,他就曾帮助谷歌启动了脑计划,现在他在百度从事相似的人工...

    whlong 评论0 收藏0
  • 《阿里聚安全2016年报》

    摘要:每天新增近个新移动病毒样本,每秒生成个阿里聚安全移动病毒样本库年新增病毒样本达个,平均每天新增个样本,这相当于每秒生成一个病毒样本。阿里聚安全的人机识别系统,接口调用是亿级别,而误识别的数量只有个位数。 《阿里聚安全2016年报》发布,本报告重点聚焦在2016年阿里聚安全所关注的移动安全及数据风控上呈现出来的安全风险,在移动安全方面重点分析了病毒、仿冒、漏洞三部分,帮助用户了解业务安全...

    2json 评论0 收藏0

发表评论

0条评论

William_Sang

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<