警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析

背景

來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等應用,可劫持全球至少50家大型銀行手機用戶。

特點:新型BankBot木馬配置靈活,執行開關受服務端控制;根據C&C端下發的指令進行遠程控制;竊取用戶隱私,對全球多家金融類app劫持,釣魚登錄界面,進而截獲、捕捉用戶輸入數據,最終非法入侵用戶互聯網賬戶系統。

木馬運行流程如下:

是否觸發惡意代碼

BankBot木馬啟動後會請求C&C端,判斷是否執行惡意代碼,若服務端返回非「0」則執行惡意代碼。

該木馬直接隱藏圖標,並啟動核心服務ge45g45gsdfsadfg,該服務使用CUP喚醒鎖可常駐後台。

核心服務

控制電源狀態為PARTIAL_WAKE_LOCK模式和使用CPU時鐘鎖,使核心服務常駐後台。惡意行為如下:

  • 強制激活設備管理;
  • 上傳當前木馬運行環境,包括:設備基本信息、是否管理激活、是否存在鎖屏密碼、是否簡訊攔截,用戶安裝的銀行類app名;
  • 服務端下髮指令實施遠程控制;
  • 啟動劫持服務

下圖上傳木馬運行環境

上傳設備狀態

上傳已安裝銀行app

上傳數據由自身加密演算法編碼,解密結果:3592500503912**:1:1:0、3592500503912**:(中國聯通)+86186670157**:4.4.2:cn:|AlfaB_RU|

|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數據告訴控制端當前設備ID、木馬已拿到管理激活、設備存在鎖屏密碼、還未配置簡訊攔截、用戶已安裝AlfaB、paypal、UBank銀行app。

隨後C&C端返回控制指令,指令解析如下。

劫持分析

當受害人打開合法銀行app時,該木馬監控到此行為,載入偽裝的銀行頁面 ,並覆蓋真實銀行app界面。對於界面劫持攻擊,最重要的一步就是誘騙受害者進入他們偽造的登錄界面,因此,假冒的銀行登錄窗口得與原生窗口非常相似,讓用戶很難區分真偽。

另外的一些釣魚界面。

受害者的設備ID是與木馬控制端交互的標示號,並根據受害人設備上的銀行app在控制端準備偽造的登錄界面。全世界各大金融app都無倖免,包括知名的Paypal、American Express、英國巴克萊銀行、蘇格蘭皇家銀行等:

at.bawag.mbanking

at.easybank.mbanking

at.spardat.netbanking

at.volksbank.volksbankmobile

com.rbs.mobile.android.rbs

com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile

au.com.ingdirect.android

au.com.nab.mobile

com.commbank.netbank

org.banksa.bank

org.stgeorge.bank

org.westpac.bank

com.db.mm.deutschebank

com.barclays.android.barclaysmobilebanking

com.starfinanz.mobile.android.dkbpushtan

com.starfinanz.smob.android.sbanking

com.starfinanz.smob.android.sfinanzstatus

de.adesso.mobile.android.gad

de.comdirect.android

de.commerzbanking.mobil

de.consorsbank

de.dkb.portalapp

de.fiducia.smartphone.android.banking.vr

de.ing_diba.kontostand

de.postbank.finanzassistent

mobile.santander.de

com.IngDirectAndroid

com.arkea.android.application.cmb

com.arkea.android.application.cmso2

com.boursorama.android.clients

com.cacf.MonCACF

com.caisseepargne.android.mobilebanking

com.cic_prod.bad

com.cm_prod.bad

com.fullsix.android.labanquepostale.accountaccess

com.groupama.toujoursla

com.lbp.peps

com.macif.mobile.application.android

com.ocito.cdn.activity.creditdunord

fr.axa.monaxa

fr.banquepopulaire.cyberplus

fr.banquepopulaire.cyberplus.pro

fr.creditagricole.androidapp

fr.lcl.android.customerarea

fr.lemonway.groupama

mobi.societegenerale.mobile.lappli

net.bnpparibas.mescomptes

com.comarch.mobile

com.getingroup.mobilebanking

com.konylabs.cbplpat

eu.eleader.mobilebanking.pekao

eu.eleader.mobilebanking.raiffeisen

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ing.ingmobile

pl.mbank

pl.pkobp.iko

wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.pozitron.iscep

com.tmobtech.halkbank

com.vakifbank.mobile

com.ykb.android

com.ziraat.ziraatmobil

ca.bnc.android

com.americanexpress.android.acctsvcs.us

com.chase.sig.android

com.cibc.android.mobi

com.citi.citimobile

com.clairmail.fth

com.coinbase.android

com.creditkarma.mobile

com.discoverfinancial.mobile

com.fi9228.godough

com.firstpremier.mypremiercreditcard

com.infonow.bofa

com.jpm.sig.android

com.moneybookers.skrillpayments

com.paybybank.westernunion

com.paypal.android.p2pmobile

com.pnc.ecommerce.mobile

com.suntrust.mobilebanking

com.tdbank

com.td

com.transferwise.android

com.unionbank.ecommerce.mobile.android

com.usaa.mobile.android.usaa

com.usb.cps.axol.usbc

com.wf.wellsfargomobile

me.doubledutch.rbccapitalmarkets

劫持sdk<=22設備

下圖通過讀取android系統下proc文件夾的相關信息,獲取sdk>22 設備的頂層應用包名。

獲取sdk>22頂層包名

如果當前運行應用與待劫持的銀行應用匹配,惡意代碼將聯繫C&C服務端來返回仿冒的銀行登錄界面,並利用webview載入。如打開銀行應用com.garenti.cepsubesi,木馬會發出packageName+deviceId的請求來接受釣魚頁面。此惡意軟體釣魚頁面都以HTML來布局,可推測該黑產由網站釣魚轉型移動app劫持釣魚。

分析發現在釣魚頁面內插入了一段js,可將用戶輸入的銀行賬號密碼發送到服務端。

釣魚界面

提交用戶輸入

該木馬通過遠程指令可打開簡訊攔截開關,截取銀行發送的認證簡訊,並從簡訊箱刪除銀行消息。

攻擊者順利截獲受害者銀行賬號、密碼、校驗簡訊,成功繞過雙因素認證,這樣受害者不僅僅構造成了一個可以被攻擊者控制的移動殭屍網路,更成了攻擊者的天然提款機,如同自己私人銀行一般。

安全建議

1. 用戶下載應用請到官方網站或安全應用市場,切勿點擊任何色情鏈接,尤其是簡訊、QQ、微信等聊天工具中不熟識的「朋友」發來的鏈接。

2. 如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟體,對手機上的應用進行檢測,防止高風險惡意應用的安裝。

------------------------------------------------------------------------

作者:逆巴@阿里聚安全

更多阿里安全類技術文章,請持續關注阿里聚安全的安全專欄或阿里聚安全官方博客


推薦閱讀:

三分鐘創建一個自己的移動黑客平台(附視頻)
2016年移動設備安全問題有哪些?
《超級馬里奧酷跑》火爆全球 中國的玩家可別隨便安裝

TAG:手机木马 | 移动安全 | Android |