吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17724|回复: 33
上一主题 下一主题
收起左侧

[分享] AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

  [复制链接]
跳转到指定楼层
楼主
阿里聚安全 发表于 2017-8-15 15:01 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 阿里聚安全 于 2017-8-15 15:03 编辑

背景
近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,之前主要针对欧洲国家,可劫持50多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

那么新型BankBot是怎么再次入侵用户手机?
能上架应用商店和入侵用户手机,BankBot使用了AVPass技术,包括针对静态分析和动态沙盒的逃逸,这样成功绕过大多数杀毒引擎。可信应用商店+绕过杀毒引擎,这样病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是如何规避杀毒引擎,病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近,新型BankBot木马解析》
AVPass分析

1、使用成熟的AVPass技术,可绕过反病毒检测系统
病毒AvPass工作流程图如下:



Binary Obfuscation
混淆自身特征,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,随后使用加固技术,将恶意dex打包加密。处理后的app如下图:



2、对抗动态沙盒
通过自检测运行环境和增加用户行为交互对抗沙盒,新型BankBot只有同时满足以下4条才会触发恶意行为:运行在Android5.0以及以上设备运行设备非俄罗斯、巴西、乌克兰用户检测运行环境,若非真机环境将不会触发恶意行为用户行为交互,点击按钮

下图运行设备检测



3、FCM远控,获取短信验证码
目前,各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后,还差动态短信,之前BankBot直接使用短信劫持,但这样杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架,利用FCM向指定设备发送指令数据,从而获取受害者短信验证码,也就是控制端在成功钓鱼后,通过FCM下发获取短信的指令,病毒读取最新短信,通过网络上传至控制端。下图整个攻击流程。




FCM下发的指令数据还包括:更新C&C地址、弹伪造的通知栏、界面劫持数据,其中弹伪造的通知栏和界面劫持都是BankBot的钓鱼手段。下图下发的指令数据。




攻击者一旦成功截获受害者银行账号、密码和短信动态验证码,将绕过银行双因素认证,这样受害者们不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机。
安全建议
1、建议用户安装钱盾等手机安全软件,定期进行病毒扫描。
2、切勿点击任何陌生链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

------------------------------
* 作者:钱盾反诈实验室,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

免费评分

参与人数 8吾爱币 +10 热心值 +8 收起 理由
zqguang3708 + 1 + 1 热心回复!
w731883875 + 1 + 1 看不懂,但是我会刷机~~~~
Dr.Web + 1 + 1 --------
13066627762 + 1 + 1 用心讨论,共获提升!
小范 + 3 + 1 我很赞同!
天游客 + 1 + 1 热心回复!
B1aN + 1 + 1 谢谢@Thanks!
snccwt + 1 + 1 热心回复!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
Dr.Web 发表于 2017-8-17 08:40
妲己再美终是妃 发表于 2017-8-16 19:47
混淆好厉害。
最后,来个加固。
最讨厌加固了。现在锁机木马软件变聪明了,使用360等安全加固。

没有刷机解决不了的问题,如果有,就换手机
推荐
妲己再美终是妃 发表于 2017-8-16 19:47
混淆自身特征,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,随后使用加固技术,将恶意dex打包加密。

混淆好厉害。
最后,来个加固。
最讨厌加固了。现在锁机木马软件变聪明了,使用360等安全加固。
给破解锁机软件增加了难度。
沙发
snccwt 发表于 2017-8-15 15:14
3#
CPLASF 发表于 2017-8-15 15:26
来学习一下
4#
B1aN 发表于 2017-8-15 15:59
官方帐号啊,学习一下
5#
两行白鹭上青天 发表于 2017-8-15 16:12
官方账号都来了~看看
6#
hong_sun 发表于 2017-8-15 16:24
太牛X了吧!!
7#
szzzyan 发表于 2017-8-15 16:25
来学习,看怎样能防病毒。
8#
山寨大王 发表于 2017-8-15 16:44
这个是阿里,马云家的那个官方账号嘛??
头像被屏蔽
9#
yzydys 发表于 2017-8-15 17:55
提示: 作者被禁止或删除 内容自动屏蔽
10#
li6893 发表于 2017-8-15 19:37
这消息和分析重要,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表