警惕一大波銀行類木馬正在靠近，新型BankBot木馬解析

01-31

背景

來自安全公司Dr.Web的研究人員說，最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期，阿里聚安全檢測到大量新型BankBot家族木馬，木馬偽裝成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等應用，可劫持全球至少50家大型銀行手機用戶。

特點：新型BankBot木馬配置靈活，執行開關受服務端控制；根據C&C端下發的指令進行遠程控制；竊取用戶隱私，對全球多家金融類app劫持，釣魚登錄界面，進而截獲、捕捉用戶輸入數據，最終非法入侵用戶互聯網賬戶系統。

木馬運行流程如下：

是否觸發惡意代碼

BankBot木馬啟動後會請求C&C端，判斷是否執行惡意代碼，若服務端返回非「0」則執行惡意代碼。

該木馬直接隱藏圖標，並啟動核心服務ge45g45gsdfsadfg，該服務使用CUP喚醒鎖可常駐後台。

核心服務

控制電源狀態為PARTIAL_WAKE_LOCK模式和使用CPU時鐘鎖，使核心服務常駐後台。惡意行為如下：

強制激活設備管理；
上傳當前木馬運行環境，包括：設備基本信息、是否管理激活、是否存在鎖屏密碼、是否簡訊攔截，用戶安裝的銀行類app名；
服務端下髮指令實施遠程控制；
啟動劫持服務

下圖上傳木馬運行環境

上傳設備狀態

上傳已安裝銀行app

上傳數據由自身加密演算法編碼，解密結果：3592500503912**:1:1:0、3592500503912**:(中國聯通)+86186670157**:4.4.2:cn:|AlfaB_RU|

|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數據告訴控制端當前設備ID、木馬已拿到管理激活、設備存在鎖屏密碼、還未配置簡訊攔截、用戶已安裝AlfaB、paypal、UBank銀行app。

隨後C&C端返回控制指令，指令解析如下。

劫持分析

當受害人打開合法銀行app時，該木馬監控到此行為，載入偽裝的銀行頁面 ,並覆蓋真實銀行app界面。對於界面劫持攻擊，最重要的一步就是誘騙受害者進入他們偽造的登錄界面，因此，假冒的銀行登錄窗口得與原生窗口非常相似，讓用戶很難區分真偽。

另外的一些釣魚界面。

受害者的設備ID是與木馬控制端交互的標示號，並根據受害人設備上的銀行app在控制端準備偽造的登錄界面。全世界各大金融app都無倖免，包括知名的Paypal、American Express、英國巴克萊銀行、蘇格蘭皇家銀行等：

at.bawag.mbanking

at.easybank.mbanking

at.spardat.netbanking

at.volksbank.volksbankmobile

com.rbs.mobile.android.rbs

com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile

au.com.ingdirect.android

au.com.nab.mobile

com.commbank.netbank

org.banksa.bank

org.stgeorge.bank

org.westpac.bank

com.db.mm.deutschebank

com.barclays.android.barclaysmobilebanking

com.starfinanz.mobile.android.dkbpushtan

com.starfinanz.smob.android.sbanking

com.starfinanz.smob.android.sfinanzstatus

de.adesso.mobile.android.gad

de.comdirect.android

de.commerzbanking.mobil

de.consorsbank

de.dkb.portalapp

de.fiducia.smartphone.android.banking.vr

de.ing_diba.kontostand

de.postbank.finanzassistent

http://mobile.santander.de

com.IngDirectAndroid

com.arkea.android.application.cmb

com.arkea.android.application.cmso2

com.boursorama.android.clients

com.cacf.MonCACF

com.caisseepargne.android.mobilebanking

com.cic_prod.bad

com.cm_prod.bad

com.fullsix.android.labanquepostale.accountaccess

com.groupama.toujoursla

com.lbp.peps

com.macif.mobile.application.android

com.ocito.cdn.activity.creditdunord

fr.axa.monaxa

fr.banquepopulaire.cyberplus

fr.banquepopulaire.cyberplus.pro

fr.creditagricole.androidapp

fr.lcl.android.customerarea

fr.lemonway.groupama

mobi.societegenerale.mobile.lappli

net.bnpparibas.mescomptes

com.comarch.mobile

com.getingroup.mobilebanking

com.konylabs.cbplpat

eu.eleader.mobilebanking.pekao

eu.eleader.mobilebanking.raiffeisen

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ing.ingmobile

pl.mbank

pl.pkobp.iko

wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.pozitron.iscep

com.tmobtech.halkbank

com.vakifbank.mobile

com.ykb.android

com.ziraat.ziraatmobil

ca.bnc.android

http://com.americanexpress.android.acctsvcs.us

com.chase.sig.android

http://com.cibc.android.mobi

com.citi.citimobile

com.clairmail.fth

com.coinbase.android

com.creditkarma.mobile

com.discoverfinancial.mobile

com.fi9228.godough

com.firstpremier.mypremiercreditcard

com.infonow.bofa

com.jpm.sig.android

com.moneybookers.skrillpayments

com.paybybank.westernunion

com.paypal.android.p2pmobile

com.pnc.ecommerce.mobile

com.suntrust.mobilebanking

com.tdbank

com.td

com.transferwise.android

com.unionbank.ecommerce.mobile.android

com.usaa.mobile.android.usaa

com.usb.cps.axol.usbc

com.wf.wellsfargomobile

me.doubledutch.rbccapitalmarkets

劫持sdk<=22設備

下圖通過讀取android系統下proc文件夾的相關信息，獲取sdk>22 設備的頂層應用包名。

獲取sdk>22頂層包名

如果當前運行應用與待劫持的銀行應用匹配，惡意代碼將聯繫C&C服務端來返回仿冒的銀行登錄界面，並利用webview載入。如打開銀行應用com.garenti.cepsubesi，木馬會發出packageName＋deviceId的請求來接受釣魚頁面。此惡意軟體釣魚頁面都以HTML來布局，可推測該黑產由網站釣魚轉型移動app劫持釣魚。