新的移動惡意軟體利用分層混淆瞄準俄羅斯銀行

01-29

2016年末，一款名為Fanta SDK的安卓惡意軟體攻擊了俄羅斯聯邦儲備銀行（Sberbank），並在攻擊過程中採用了獨特的防禦措施。研究人員將這款app的主伺服器跟其它惡意行動如傳播Cridex、Ramnit和ZBOT銀行木馬的惡意行動的基礎架構聯繫在一起。安全專家表示，這款app的行為跟此前一個實施「Operation Emmental」行為的犯罪團伙有關，該團伙曾從位於瑞士、瑞典和奧地利的銀行竊取錢財，該組織被認為來自俄羅斯。

不過，研究人員最近又發現了另一個專門針對俄羅斯銀行的惡意軟體，與Fanta SDK相比，它使用了分層混淆技術。目前趨勢科技的研究人員將這個惡意軟體暫時被命名為FakeBank，迄今為止研究人員收集的相關樣本數量已經達到了數千個。這些樣本顯示，FakeBank的攻擊目標不僅僅是俄羅斯聯邦儲備銀行，還針對其它俄羅斯銀行，比如Letobank和VTB24銀行。研究人員的樣本顯示FakeBank的文件名是隨機變化的，並且主要作為SMS / MMS管理軟體來引誘用戶下載它們。下表是樣本的名稱：

惡意軟體樣本的名稱

事實上，這些介紹的簡訊管理功能就是針對受害者的攻擊行為。惡意軟體會在攻擊開始時中攔截簡訊，通過他們的手機銀行系統竊取受感染用戶的錢財。

目前，FakeBank已經遍布俄羅斯和其他俄語國家。

樣本的分布國家

攔截簡訊並將用戶的錢財轉移

惡意應用程序可以控制受感染用戶的打開和關閉網路功能，也可以默默地連接到互聯網。這意味著它可以在用戶不知情的情況下將信息發送到其命令和控制伺服器（C＆C）。它還會檢查設備是否安裝有殺毒軟體，如果檢測到，則會退出而不執行任何惡意行為。這是一個防禦策略，可以幫助它不被檢測到，將攻擊效果最大化。

惡意軟體還會竊取設備中的信息並將其上傳到C＆C伺服器，收集到的敏感數據包括：用戶的電話號碼，安裝的銀行應用程序列表，所有鏈接銀行卡上的餘額，甚至位置信息。

捕獲的網路數據包

應用程序會收集所有鏈接銀行卡上的餘額

為了進一步保證數據收集的成功，惡意軟體會禁止用戶打開設備設置，也可能會阻止用戶進行卸載。研究人員還在一些示例中檢測到惡意軟體還能篡改用戶的管理員許可權，這使惡意軟體可以更多地訪問設備。

一旦惡意軟體被安裝，應用圖標就會出現在設備屏幕上並要求開放各種許可權

一旦用戶批准這個請求，圖標消失，惡意行為開始

惡意軟體甚至會進一步控制用戶的簡訊，首先用它自己替換默認的SMS管理程序並隱藏圖標。這樣它可以上傳和分析收到的任何簡訊，甚至可以在本地刪除任何簡訊。這意味著從銀行到用戶的任何驗證或查詢都可以被截獲和刪除。它甚至可以撥打指定的電話號碼，發送指定的簡訊，竊取通話記錄和聯繫人列表。

最重要的是，所有這些對設備簡訊的訪問都會讓惡意軟體悄悄地從用戶的銀行賬戶竊取資金。由於用戶會將他們的銀行帳戶綁定到他們的設備，並在同一設備上接收銀行的各種通知，惡意軟體可以攔截敏感的帳戶信息。然後可以通過收到的安全驗證碼信息重置銀行賬戶密碼並開始轉賬。

FakeBank也會阻止用戶打開目標銀行的官方應用程序，以防止對銀行卡號和綁定的電話號碼之間的關係進行任何修改。據此，研究人員可以判斷出惡意軟體開發人員對銀行的消息傳輸模式和傳輸過程非常熟悉，因為所有的支付簡訊通知都是由C＆C註明和加擾的。

值得注意的是，美國國家標準與技術研究院（NIST）正式拒絕使用SMS作為雙因素認證。如果移動用戶使用的是應用程序和服務，則應選擇其他認證方式。

對惡意的有效載荷進化混淆

這種惡意軟體的顯著特點之一是將它的惡意效載荷進行隱藏的方式。惡意軟體在不同的設備上具有不同的混淆行為，以使感染用戶難以卸載它，並避免被安全解決方案檢測到。

截止目前，研究人員發現它實際上使用了三種不同的方法來混淆惡意載荷，這些技術的複雜程度不一，開發者似乎採取了多層次的方法來避免被檢測到。

第一種混淆方法是常用的外殼保護，這是一種常用的技術。實際上有一些開源工具或服務為APK提供shell保護。但是這也很容易被檢測到，只需通過一個標準的內存轉儲就可能得到真正有意義的代碼。

第二種混淆方法是惡意軟體開發人員使用反射（一種應用程序收集信息或操縱自身的手段）來調用所有的系統調用，這可以使代碼更難被理解。惡意軟體還會對其所有字元串進行加密，包括類名稱和功能，並將其標註為資產文件加入到文件夾中。它們通常使用標準的加密方法，如（DES / BASE64）或簡單的位操作。下面是一些說明這些技術的代碼片段：

反射調用系統調用的代碼，在解密之前顯示類名稱和方法名稱的基本字元串混淆

反射調用系統調用的代碼，顯示解密後類名和方法名稱的基本字元串混淆

惡意軟體使用運行時解密來查找特定的字元串，下面的代碼顯示了它如何通過引用asset文件夾中的加密文件的具體函數索引來定位精確字元串。

該函數隱藏惡意應用程序的圖標

上述整個過程運行在一個本地的.SO文件中，這意味著代碼更加靈活。同樣為了去混淆它，動態分析和鉤子是必要的。當惡意軟體應用程序載入.SO文件時，它將解密該文件並在內存中生成字元串。

惡意軟體解密並生成字元串的過程

同樣，惡意軟體會通過索引找到確切的字元串，並使用本地調用來執行具體攻擊。

該函數再次隱藏了圖標

儘管第一種混淆技術很容易被發現，但其它兩種技術卻是很難被發現的兩種混淆方法。這表明開發人員將很多的注意力集中在了逃避檢測的功能上，並嘗試用不同的技術來實現這點。

C＆C基礎設施

惡意軟體已經註冊了大量的C＆C域名，許多域名都是最近的，其中有些還在繼續使用。這些C＆C域名擁有共同的IP地址（195.22.126.81和195.22.126.160），位於波蘭的Warmia-Masuria。其他IP地址（185.110.132.0和185.110.132.255）位於俄羅斯。

這些C＆C地址具有相同的格式：hxxp://[domain]/[random str]/index.php。

根據C＆C域名的Whois信息，研究人員發現絕大多數是用同一家公司註冊的。據悉，該公司與其他欺詐性域名有關聯，並已被披露過，註冊服務商有可能為欺詐域名的註冊人設置了隱私保護。

用戶應該盡量避免從不受信任的來源下載應用程序，而且設備還應該配備全面的移動安全功防護程序。

本文翻譯自：http://blog.trendmicro.com/trendlabs-security-intelligence/new-mobile-malware-uses-layered-obfuscation-targets-russian-banks/ ，如若轉載，請註明原文地址： http://www.4hou.com/mobile/9891.html 更多內容請關注「嘶吼專業版」——Pro4hou