警惕一大波银行类木马正在靠近,新型BankBot木马解析

作者:逆巴@阿里聚安全


背景

来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。


特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。


木马运行流程如下:

警惕一大波银行类木马正在靠近,新型BankBot木马解析

是否触发恶意代码

BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。

警惕一大波银行类木马正在靠近,新型BankBot木马解析

该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。


核心服务

控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:

  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务


下图上传木马运行环境

警惕一大波银行类木马正在靠近,新型BankBot木马解析

上传设备状态


警惕一大波银行类木马正在靠近,新型BankBot木马解析

上传已安装银行app


上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU|

|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。


随后C&C端返回控制指令,指令解析如下。

警惕一大波银行类木马正在靠近,新型BankBot木马解析


劫持分析

当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。


警惕一大波银行类木马正在靠近,新型BankBot木马解析

 

另外的一些钓鱼界面。

警惕一大波银行类木马正在靠近,新型BankBot木马解析


受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等:

at.bawag.mbanking

at.easybank.mbanking

at.spardat.netbanking

at.volksbank.volksbankmobile

com.rbs.mobile.android.rbs

com.isis_papyrus.raiffeisen_pay_eyewdg


au.com.bankwest.mobile

au.com.ingdirect.android

au.com.nab.mobile

com.commbank.netbank

org.banksa.bank

org.stgeorge.bank

org.westpac.bank


com.db.mm.deutschebank

com.barclays.android.barclaysmobilebanking

com.starfinanz.mobile.android.dkbpushtan

com.starfinanz.smob.android.sbanking

com.starfinanz.smob.android.sfinanzstatus

de.adesso.mobile.android.gad

de.comdirect.android

de.commerzbanking.mobil

de.consorsbank

de.dkb.portalapp

de.fiducia.smartphone.android.banking.vr

de.ing_diba.kontostand

de.postbank.finanzassistent

mobile.santander.de


com.IngDirectAndroid

com.arkea.android.application.cmb

com.arkea.android.application.cmso2

com.boursorama.android.clients

com.cacf.MonCACF

com.caisseepargne.android.mobilebanking

com.cic_prod.bad

com.cm_prod.bad

com.fullsix.android.labanquepostale.accountaccess

com.groupama.toujoursla

com.lbp.peps

com.macif.mobile.application.android

com.ocito.cdn.activity.creditdunord

fr.axa.monaxa

fr.banquepopulaire.cyberplus

fr.banquepopulaire.cyberplus.pro

fr.creditagricole.androidapp

fr.lcl.android.customerarea

fr.lemonway.groupama

mobi.societegenerale.mobile.lappli

net.bnpparibas.mescomptes


com.comarch.mobile

com.getingroup.mobilebanking

com.konylabs.cbplpat

eu.eleader.mobilebanking.pekao

eu.eleader.mobilebanking.raiffeisen

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ing.ingmobile

pl.mbank

pl.pkobp.iko

wit.android.bcpBankingApp.millenniumPL


com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.pozitron.iscep

com.tmobtech.halkbank

com.vakifbank.mobile

com.ykb.android

com.ziraat.ziraatmobil


ca.bnc.android

com.americanexpress.android.acctsvcs.us

com.chase.sig.android

com.cibc.android.mobi

com.citi.citimobile

com.clairmail.fth

com.coinbase.android

com.creditkarma.mobile

com.discoverfinancial.mobile

com.fi9228.godough

com.firstpremier.mypremiercreditcard

com.infonow.bofa

com.jpm.sig.android

com.moneybookers.skrillpayments

com.paybybank.westernunion

com.paypal.android.p2pmobile

com.pnc.ecommerce.mobile

com.suntrust.mobilebanking

com.tdbank

com.td

com.transferwise.android

com.unionbank.ecommerce.mobile.android

com.usaa.mobile.android.usaa

com.usb.cps.axol.usbc

com.wf.wellsfargomobile

me.doubledutch.rbccapitalmarkets


警惕一大波银行类木马正在靠近,新型BankBot木马解析

劫持sdk<=22设备


下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。

警惕一大波银行类木马正在靠近,新型BankBot木马解析

获取sdk>22顶层包名


如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。

警惕一大波银行类木马正在靠近,新型BankBot木马解析


分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。

警惕一大波银行类木马正在靠近,新型BankBot木马解析

钓鱼界面


警惕一大波银行类木马正在靠近,新型BankBot木马解析

提交用户输入


该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。

警惕一大波银行类木马正在靠近,新型BankBot木马解析


攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。

安全建议

1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。



更多阿里安全类技术文章,请访问阿里聚安全官方博客

上一篇:CNCF 公布 2020 年 TOC 选举结果 | 云原生生态周报 Vol. 36


下一篇:简书非官方大数据新思路