AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

简介: 背景 近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,之前主要针对欧洲国家,可劫持50多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

背景

近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,之前主要针对欧洲国家,可劫持50多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

 那么新型BankBot是怎么再次入侵用户手机?

能上架应用商店和入侵用户手机,BankBot使用了AVPass技术,包括针对静态分析和动态沙盒的逃逸,这样成功绕过大多数杀毒引擎。可信应用商店+绕过杀毒引擎,这样病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是如何规避杀毒引擎,病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近,新型BankBot木马解析》

AVPass分析

1、使用成熟的AVPass技术,可绕过反病毒检测系统

病毒AvPass工作流程图如下:


Binary Obfuscation


混淆自身特征,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,随后使用加固技术,将恶意dex打包加密。处理后的app如下图:




2、对抗动态沙盒

通过自检测运行环境和增加用户行为交互对抗沙盒,新型BankBot只有同时满足以下4条才会触发恶意行为:

  • 运行在Android5.0以及以上设备
  • 运行设备非俄罗斯、巴西、乌克兰用户
  • 检测运行环境,若非真机环境将不会触发恶意行为
  • 用户行为交互,点击按钮


下图运行设备检测




3、FCM远控,获取短信验证码

目前,各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后,还差动态短信,之前BankBot直接使用短信劫持,但这样杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架,利用FCM向指定设备发送指令数据,从而获取受害者短信验证码,也就是控制端在成功钓鱼后,通过FCM下发获取短信的指令,病毒读取最新短信,通过网络上传至控制端。下图整个攻击流程。




FCM下发的指令数据还包括:更新C&C地址、弹伪造的通知栏、界面劫持数据,其中弹伪造的通知栏和界面劫持都是BankBot的钓鱼手段。下图下发的指令数据。




攻击者一旦成功截获受害者银行账号、密码和短信动态验证码,将绕过银行双因素认证,这样受害者们不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机。

安全建议

1、建议用户安装钱盾等手机安全软件,定期进行病毒扫描。

2、切勿点击任何陌生链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

------------------------------

* 作者:钱盾反诈实验室,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

相关文章
|
Web App开发 Rust 安全
GTA 6 源代码泄漏;因拦截广告被优酷起诉判赔 20 万;Win 11首个大更新 |思否周刊
GTA 6 源代码泄漏;因拦截广告被优酷起诉判赔 20 万;Win 11首个大更新 |思否周刊
348 0
|
Web App开发 安全 数据安全/隐私保护
McAfee:“极光攻击”将会盛行
在周三的RSA 2010大会发言中,McAfee的研究人员表示,以获取企业源代码为目的的网络犯罪正在盛行,而企业对此方面的保护略显不足。 在RSA 2010上,McAfee展示了一个分析报告,关于对Perforce公司(一个做住房产权软件的公司)的调查。
1120 0
谷歌攻击事件追踪到两家中国学校
据路透社报道,近来针对谷歌和其它美国公司的网络攻击被察觉源自一所中国的顶级学府以及一所与军方有关联的学校。纽约时报引述了参与调查的人并在周四做了报道。 参与调查的人告诉纽约时报,被卷入的中国学校是上海交通大学和蓝翔职业技术学校。
1064 0
|
新零售 安全 物联网
游戏安全资讯精选 2017年第十六期:房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞
房卡式棋牌游戏涉赌博风波,抓娃娃火爆市场背后的安全隐患需警惕,Linux内核的Huge Dirty Cow权限提升漏洞
2696 0
|
新零售 安全 数据安全/隐私保护
金融安全资讯精选 2017年第十三期 百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准
百慕大离岸律师事务所遭黑客攻击,Google 发布HTTPS 普及度报告,Bad Rabbit攻击预警和安全建议,PCI SSC 发布新的 3DS 支付标准
2206 0
|
安全 网络安全 数据安全/隐私保护
金融安全资讯精选 2017年第十一期 银行木马利用VMvare进行传播 研究人员发现新型安卓银行木马Red Alert
银行木马利用VMvare进行传播,研究人员发现新型安卓银行木马Red Alert,微软“10月周二补丁日”发布63个漏洞补丁,云栖大会安全发布汇总,高防降价90%,亚洲首个“芯片级”加密
2080 0