吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 25270|回复: 188
收起左侧

[Android 原创] 警惕一大波银行类木马正在靠近,新型BankBot木马解析

    [复制链接]
阿里聚安全 发表于 2017-3-6 14:14
本帖最后由 阿里聚安全 于 2017-3-6 14:24 编辑

作者:逆巴@阿里聚安全
--------------------------------------------------------------------


背景


来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。

特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。

木马运行流程如下:


1.png

是否触发恶意代码


BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。


2.png


该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。


核心服务


控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:

  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务

下图上传木马运行环境



3.png

上传设备状态


4.png



上传已安装银行app




上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU||paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。

随后C&C端返回控制指令,指令解析如下。



5.jpg


劫持分析

当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。


6.jpg


另外的一些钓鱼界面。


7.jpg

受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等:

at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank

com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de

com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androIDApp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes

com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil


ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets


8.png

劫持sdk<=22设备


下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。


9.png

获取sdk>22顶层包名


如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。


10.png

分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。


11.png



钓鱼界面



12.png



提交用户输入

该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。


13.png

攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。


安全建议


1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。


2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。

-------------------------------------------------------------------

更多阿里安全类技术文章,请访问阿里聚安全官方博客(http://jaq.alibaba.com/community/index.htm?spm=a313e.7768735.1000000.6.anj7zJ

点评

是不是说ios就不用担心了  发表于 2017-3-7 10:37

免费评分

参与人数 85吾爱币 +85 热心值 +78 收起 理由
siuhoapdou + 1 谢谢@Thanks!
RPAL + 1 + 1 用心讨论,共获提升!
多日密发 + 1 + 1 谢谢@Thanks!
vv很忙 + 1 + 1 我很赞同!
WFi + 1 + 1 鼓励转贴优秀软件安全工具和文档!
屁啊Aua + 1 + 1 好厉害的样子
年少不懂事 + 1 + 1 谢谢@Thanks!
Eason9505 + 1 + 1 热心回复!
雨叶泠 + 1 谢谢@Thanks!
刺青之声 + 1 + 1 我很赞同!
日天的神 + 1 + 1 我很赞同!
请叫我野区霸主 + 1 + 1 已答复!
一猫 + 1 + 1 谢谢@Thanks!
纯属丶娱乐 + 1 + 1 用心讨论,共获提升!
聚惠网络 + 1 + 1 用心讨论,共获提升!
yuan3718 + 1 + 1 用心讨论,共获提升!
八意永琳 + 1 + 1 谢谢@Thanks!
Nboos + 1 + 1 我很赞同!
Acker + 1 + 1 鼓励转贴优秀软件安全工具和文档!
610100 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
5love163 + 1 鼓励转贴优秀软件安全工具和文档!
Evann95 + 1 + 1 谢谢@Thanks!
Three_fish + 1 + 1 谢谢@Thanks!
云荼最牛逼 + 1 + 1 用心讨论,共获提升!
莫奇 + 1 + 1 厉害了,就是连银行app都没折吧
倾听回忆 + 3 + 1 我很赞同!
海底总动员 + 1 + 1 我很赞同!
dzpos + 1 + 1 已答复!
hjwjkx + 1 + 1 我很赞同!
Cooper + 1 谢谢@Thanks!
神秘哥 + 1 + 1 厉害的样子····
沉寂黄昏 + 1 + 1 谢谢@Thanks!
ClearLover + 1 IOS给了你多少钱?我Andriod出双倍。
wanglaihuai + 1 + 1 不给root权限是不是就没这么惨了?
老孙a + 1 + 1 谢谢@Thanks!
守护神艾丽莎 + 1 + 1 热心回复!
韩文 + 1 + 1 热心回复!
a3512740 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
拂晓天涯 + 1 谢谢@Thanks!
lczhzn9611115 + 1 + 1 用心讨论,共获提升!
uubig + 1 + 1 我很赞同!
soyiC + 1 + 1 热心回复!
蜗牛逛街 + 1 + 1 谢谢@Thanks!
耀哥@宋耀 + 1 + 1 我很赞同!
zxh1293 + 1 + 1 谢谢@Thanks!
zxc0v0b + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dadao815 + 1 + 1 谢谢@Thanks!
168pojie + 1 + 1 谢谢@Thanks!
sweetaski + 1 + 1 用心讨论,共获提升!
a5606495 + 1 + 1 热心回复!
ayoma + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Amarry + 1 + 1 我很赞同!
ssou + 1 + 1 谢谢@Thanks!
Egoista丶 + 1 + 1 我很赞同!
WT-119 + 1 + 1 谢谢@Thanks!
qiangq233 + 1 + 1 谢谢@Thanks!提高防范意识最重要
好人卡 + 1 + 1 谢谢@Thanks!
Jr丶新一 + 1 + 1 IOS别手贱一般都不会出问题
Demo-Test + 1 + 1 用一台非智能机接短信,一台智能机装APP,解决拦截....
说再见 + 1 + 1 用心讨论,共获提升!
wangsheng66 + 2 + 1 用心讨论,共获提升!
a634085832 + 1 + 1 用心讨论,共获提升!
风吹屁股凉凉 + 1 + 1 我很赞同!
CrestKing + 1 + 1 鼓励转贴优秀软件安全工具和文档!
樱花-盛开 + 1 + 1 用心讨论,共获提升!
SO~~PA + 1 + 1 已答复!
0dao5 + 1 + 1 不明觉厉orz
爱你撕内裤 + 1 我只是好奇你们的抓包软件为毛和我的不一样,敢不敢把你们的抓包软件发出来.
Monitor + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
www.52pojie.cn + 1 + 1 谢谢@Thanks!
ccm_sdjn + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
当红灬依赖 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
yumin004 + 1 + 1 把钱全部存支付宝看来是对的!
SHH1997丶 + 1 + 1 用心讨论,共获提升!
吾爱3.1415 + 1 热心回复!
123-木头人 + 1 + 1 我很赞同!
WYWZ + 1 + 1 能分享一下源码吗?我不做坏事
Fancier + 1 + 1 我很赞同!
拐角 + 1 阿里企业的吗?很厉害,是不是需要@各位大佬做好保护纳
ZMZwise + 1 + 1 赞一个
一切皆空 + 1 + 1 虽然看不懂 感觉很厉害的样子
AAA00544 + 1 + 1 我很赞同!
蛹壳 + 1 wt??企业用户
恒大大 + 2 + 1 用心讨论,共获提升!
kendling + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Monitor 发表于 2017-3-6 16:39
恶意软件会一直更新,花样也是层出不穷,对于一些新型的恶意软件即使是安全软件也未必能100%拦截。
管好自己的手(别手贱),别贪图小便宜,提高安全意识吧
kim945 发表于 2017-3-6 20:50
生活啊 发表于 2017-3-6 20:16
我只能说、能做出这么牛叉的木马的人、、不会在乎我银行卡里这点小钱的

这么牛逼的人,一般都是每个账户转走几块几十块...你不会发现的。。
x_kotaku 发表于 2017-3-6 14:26
kendling 发表于 2017-3-6 14:27
地球太不安全发,我要回火星去。。
yakun1994 发表于 2017-3-6 14:28
学习一下,阿里强大
凌乱的思绪 发表于 2017-3-6 14:29
这也太厉害了!!
zhshdaan168 发表于 2017-3-6 14:32
太高深了
AAA00544 发表于 2017-3-6 14:33
太可怕了  谢谢分享
蛹壳 发表于 2017-3-6 14:34
{:1_928:}膜拜阿里内部人员
blackince 发表于 2017-3-6 14:35
吓的我赶紧看看银行卡里的1分钱丢了没
天蝎的未来 发表于 2017-3-6 14:43
还不错嘛,就是不知道阿里有没有中招
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 16:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表