作者:逆巴@阿裡聚安全
來自安全公司dr.web的研究人員說,最近一個未命名的android銀行木馬源代碼在地下黑客論壇遭到了洩露。就在近期,阿裡聚安全檢測到大量新型bankbot家族木馬,木馬僞裝成good weather、flash plаyеr、play Мapкeт、follon.weather等應用,可劫持全球至少50家大型銀行手機使用者。
特點:新型bankbot木馬配置靈活,執行開關受服務端控制;根據c&c端下發的指令進行遠端控制;竊取使用者隐私,對全球多家金融類app劫持,釣魚登入界面,進而截獲、捕捉使用者輸入資料,最終非法入侵使用者網際網路賬戶系統。
木馬運作流程如下:
bankbot木馬啟動後會請求c&c端,判斷是否執行惡意代碼,若服務端傳回非“0”則執行惡意代碼。
該木馬直接隐藏圖示,并啟動核心服務ge45g45gsdfsadfg,該服務使用cup喚醒鎖可常駐背景。
控制電源狀态為partial_wake_lock模式和使用cpu時鐘鎖,使核心服務常駐背景。惡意行為如下:
強制激活裝置管理;
上傳目前木馬運作環境,包括:裝置基本資訊、是否管理激活、是否存在鎖屏密碼、是否短信攔截,使用者安裝的銀行類app名;
服務端下發指令實施遠端控制;
啟動劫持服務
下圖上傳木馬運作環境
上傳裝置狀态
上傳已安裝銀行app
上傳資料由自身加密算法編碼,解密結果:3592500503912**:1:1:0、3592500503912**:(中國聯通)+86186670157**:4.4.2:cn:|alfab_ru|
|paypal||ubank|:nexus 5 (hammerhead):demom.上傳資料告訴控制端目前裝置id、木馬已拿到管理激活、裝置存在鎖屏密碼、還未配置短信攔截、使用者已安裝alfab、paypal、ubank銀行app。
随後c&c端傳回控制指令,指令解析如下。
當受害人打開合法銀行app時,該木馬監控到此行為,加載僞裝的銀行頁面 ,并覆寫真實銀行app界面。對于界面劫持攻擊,最重要的一步就是誘騙受害者進入他們僞造的登入界面,是以,假冒的銀行登入視窗得與原生視窗非常相似,讓使用者很難區分真僞。
另外的一些釣魚界面。
受害者的裝置id是與木馬控制端互動的标示号,并根據受害人裝置上的銀行app在控制端準備僞造的登入界面。全世界各大金融app都無幸免,包括知名的paypal、american express、英國巴克萊銀行、蘇格蘭皇家銀行等:
at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg
au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank
com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de
com.ingdirectandroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.moncacf
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes
com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpbankingapp.millenniumpl
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil
ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets
劫持sdk<=22裝置
下圖通過讀取android系統下proc檔案夾的相關資訊,擷取sdk>22 裝置的頂層應用包名。
擷取sdk>22頂層包名
如果目前運作應用與待劫持的銀行應用比對,惡意代碼将聯系c&c服務端來傳回仿冒的銀行登入界面,并利用webview加載。如打開銀行應用com.garenti.cepsubesi,木馬會發出packagename+deviceid的請求來接受釣魚頁面。此惡意軟體釣魚頁面都以html來布局,可推測該黑産由網站釣魚轉型移動app劫持釣魚。
分析發現在釣魚頁面内插入了一段js,可将使用者輸入的銀行賬号密碼發送到服務端。
釣魚界面
送出使用者輸入
該木馬通過遠端指令可打開短信攔截開關,截取銀行發送的認證短信,并從短信箱删除銀行消息。
攻擊者順利截獲受害者銀行賬号、密碼、校驗短信,成功繞過雙因素認證,這樣受害者不僅僅構造成了一個可以被攻擊者控制的移動僵屍網絡,更成了攻擊者的天然提款機,如同自己私人銀行一般。
1. 使用者下載下傳應用請到官方網站或安全應用市場,切勿點選任何色情連結,尤其是短信、qq、微信等聊天工具中不熟識的“朋友”發來的連結。
2. 如果不确定手機是否毒,可以安裝阿裡錢盾等手機安全軟體,對手機上的應用進行檢測,防止高風險惡意應用的安裝。