卡巴斯基实验室发现了*-Banker.AndroidOS.Tordow.a,这个木马不同一般,它除了使用自己的功能控制手机外,还能联系C&C服务器下载更多流行的恶意软件,以求获取Root权限,最终窃取用户银行资金。Tordow的功能已远远超越了大多数其他银行恶意软件,可帮助网络犯罪分子实施新型攻击。
过去,我们曾见过利用超级用户权限来发布广告的应用,比如Leech、Guerrilla和Ztorg。但是,在针对银行的恶意软件攻击中,root权限的使用并不常见。这是因为攻击者可以通过很多不需要独占权限的方式来窃取资金。
*-Banker.AndroidOS.Tordow.a打包进入Google商店的APP
Tordow感染始于安装流行APP,如VKontakte、DrugVokrug、Pokemon Go、Telegram、Odnoklassniki或地铁跑酷(Subway Surf)。在这种特定情况下,我们讨论的不是原始应用,而是那些在官方Google Play商店之外传播的应用。恶意软件编写人员下载正常应用、对其反向汇编,并添加新的代码和文件。
在正常应用中添加的代码
只要具备一丁点安卓开发知识,任何人都可以做到这一点。这样就构造了一个与原始应用类似的新应用。除了原始应用的所有正常功能,新应用还可提供攻击者需要的恶意功能。
*-Banker.AndroidOS.Tordow.a的 工作原理
在这种情况下,正常应用嵌入的代码对攻击者在资源文件中的加入恶意文件进行解密,并运行该文件。
运行的文件连接攻击者的服务器,下载Tordow的主体,里面有更多文件的下载链接。这些文件包括用来获取root权限的攻击包、新版本的恶意软件,等等。恶意链接的数量取决于网络犯罪分子的动机。每个下载的文件均可从服务器下载、解密并运行新组件。这将导致被感染的设备加载数个恶意模块;这些恶意模块的数量和功能也取决于Tordow所有者的意图。不论采用何种方法,攻击者均可从C&C下发指令远程控制设备。
这样,通过移动银行应用和勒索软件采用的传统方法,网络犯罪分子会获取从用户那里盗取资金的一整套功能。此恶意应用的功能包括:
- · 发送、窃取和删除短信。
- · 对呼叫进行录音、重定向和阻断。
- · 查询余额。
- · 通信录。
- · 拨打电话。
- · 更改C&C。
- · 下载和运行文件。
- · 安装和删除应用。
- · 阻断设备并显示恶意服务器指定的网页。
- · 生成和发送设备上的文件列表;发送和重命名文件。
- · 重启手机。
*-Banker.AndroidOS.Tordow.a还会下载流行的攻击包以获取 超级用户权限
除了下载自身所含的模块,银行木马Tordow(在指定的模块加载链内)还下载流行的攻击包,以获取root权限。这为该恶意软件提供了新攻击向量和独特功能。
首先,该木马在系统文件夹中安装其下载的一个模块,使得该模块难以删除。
其次,攻击者使用超用户权限窃取默认安卓浏览器和谷歌Chrome浏览器(如已安装)的数据库。
用于将数据从浏览器发送至服务器的代码
这些数据库包括用户在浏览器、浏览记录、cookie中保存的用户名和密码,甚至还包括保存的银行卡信息。
浏览器数据库所包含的某个网站的登录名和密码
结果,攻击者就可以获取受害者在不同网站多个账户的登录权限。
第三,攻击者可能用超用户权限窃取系统中的任何文件,包括照片、文档以及含有移动应用账户信息的文件。
这类攻击能导致大量重要用户数据失窃。我们建议用户不要安装非官方来源的APP,并使用杀毒工具来保护安卓设备。
原文发布时间:2017年3月24日
本文由:securelist发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/tordow-*-know-download-plug-in-extend-functionality
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站