警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析
背景
來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等應用,可劫持全球至少50家大型銀行手機用戶。
特點:新型BankBot木馬配置靈活,執行開關受服務端控制;根據C&C端下發的指令進行遠程控制;竊取用戶隱私,對全球多家金融類app劫持,釣魚登錄界面,進而截獲、捕捉用戶輸入數據,最終非法入侵用戶互聯網賬戶系統。
木馬運行流程如下:
是否觸發惡意代碼
BankBot木馬啟動後會請求C&C端,判斷是否執行惡意代碼,若服務端返回非「0」則執行惡意代碼。
核心服務
控制電源狀態為PARTIAL_WAKE_LOCK模式和使用CPU時鐘鎖,使核心服務常駐後台。惡意行為如下:
- 強制激活設備管理;
- 上傳當前木馬運行環境,包括:設備基本信息、是否管理激活、是否存在鎖屏密碼、是否簡訊攔截,用戶安裝的銀行類app名;
- 服務端下髮指令實施遠程控制;
- 啟動劫持服務
下圖上傳木馬運行環境
上傳設備狀態
上傳已安裝銀行app
上傳數據由自身加密演算法編碼,解密結果:3592500503912**:1:1:0、3592500503912**:(中國聯通)+86186670157**:4.4.2:cn:|AlfaB_RU|
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數據告訴控制端當前設備ID、木馬已拿到管理激活、設備存在鎖屏密碼、還未配置簡訊攔截、用戶已安裝AlfaB、paypal、UBank銀行app。
隨後C&C端返回控制指令,指令解析如下。
劫持分析
當受害人打開合法銀行app時,該木馬監控到此行為,載入偽裝的銀行頁面 ,並覆蓋真實銀行app界面。對於界面劫持攻擊,最重要的一步就是誘騙受害者進入他們偽造的登錄界面,因此,假冒的銀行登錄窗口得與原生窗口非常相似,讓用戶很難區分真偽。
另外的一些釣魚界面。
受害者的設備ID是與木馬控制端交互的標示號,並根據受害人設備上的銀行app在控制端準備偽造的登錄界面。全世界各大金融app都無倖免,包括知名的Paypal、American Express、英國巴克萊銀行、蘇格蘭皇家銀行等:
at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg
au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank
com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
http://mobile.santander.de
com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes
com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL
com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil
ca.bnc.android
http://com.americanexpress.android.acctsvcs.us
com.chase.sig.android
http://com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets
劫持sdk<=22設備
下圖通過讀取android系統下proc文件夾的相關信息,獲取sdk>22 設備的頂層應用包名。
獲取sdk>22頂層包名
如果當前運行應用與待劫持的銀行應用匹配,惡意代碼將聯繫C&C服務端來返回仿冒的銀行登錄界面,並利用webview載入。如打開銀行應用com.garenti.cepsubesi,木馬會發出packageName+deviceId的請求來接受釣魚頁面。此惡意軟體釣魚頁面都以HTML來布局,可推測該黑產由網站釣魚轉型移動app劫持釣魚。
分析發現在釣魚頁面內插入了一段js,可將用戶輸入的銀行賬號密碼發送到服務端。
釣魚界面
提交用戶輸入
該木馬通過遠程指令可打開簡訊攔截開關,截取銀行發送的認證簡訊,並從簡訊箱刪除銀行消息。
攻擊者順利截獲受害者銀行賬號、密碼、校驗簡訊,成功繞過雙因素認證,這樣受害者不僅僅構造成了一個可以被攻擊者控制的移動殭屍網路,更成了攻擊者的天然提款機,如同自己私人銀行一般。
安全建議
1. 用戶下載應用請到官方網站或安全應用市場,切勿點擊任何色情鏈接,尤其是簡訊、QQ、微信等聊天工具中不熟識的「朋友」發來的鏈接。
2. 如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟體,對手機上的應用進行檢測,防止高風險惡意應用的安裝。
------------------------------------------------------------------------
作者:逆巴@阿里聚安全
更多阿里安全類技術文章,請持續關注阿里聚安全的安全專欄或阿里聚安全官方博客
推薦閱讀:
※三分鐘創建一個自己的移動黑客平台(附視頻)
※2016年移動設備安全問題有哪些?
※《超級馬里奧酷跑》火爆全球 中國的玩家可別隨便安裝