警惕一大波银行类木马正在靠近,新型BankBot木马解析

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:

警惕一大波银行类木马正在靠近,新型BankBot木马解析

 

 

 

背景

来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。


特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。


木马运行流程如下:

是否触发恶意代码

BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。


该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。


核心服务

控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:

  • 强制激活设备管理;
  • 上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
  • 服务端下发指令实施远程控制;
  • 启动劫持服务


下图上传木马运行环境

上传设备状态


上传已安装银行app


上传数据由自身加密算法编码,解密结果:3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU|

|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。


随后C&C端返回控制指令,指令解析如下。



劫持分析

当受害人打开合法银行app时,该木马监控到此行为,加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击,最重要的一步就是诱骗受害者进入他们伪造的登录界面,因此,假冒的银行登录窗口得与原生窗口非常相似,让用户很难区分真伪。



另外的一些钓鱼界面。


受害者的设备ID是与木马控制端交互的标示号,并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免,包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等:

at.bawag.mbanking

at.easybank.mbanking

at.spardat.netbanking

at.volksbank.volksbankmobile

com.rbs.mobile.android.rbs

com.isis_papyrus.raiffeisen_pay_eyewdg


au.com.bankwest.mobile

au.com.ingdirect.android

au.com.nab.mobile

com.commbank.netbank

org.banksa.bank

org.stgeorge.bank

org.westpac.bank


com.db.mm.deutschebank

com.barclays.android.barclaysmobilebanking

com.starfinanz.mobile.android.dkbpushtan

com.starfinanz.smob.android.sbanking

com.starfinanz.smob.android.sfinanzstatus

de.adesso.mobile.android.gad

de.comdirect.android

de.commerzbanking.mobil

de.consorsbank

de.dkb.portalapp

de.fiducia.smartphone.android.banking.vr

de.ing_diba.kontostand

de.postbank.finanzassistent

mobile.santander.de


com.IngDirectAndroid

com.arkea.android.application.cmb

com.arkea.android.application.cmso2

com.boursorama.android.clients

com.cacf.MonCACF

com.caisseepargne.android.mobilebanking

com.cic_prod.bad

com.cm_prod.bad

com.fullsix.android.labanquepostale.accountaccess

com.groupama.toujoursla

com.lbp.peps

com.macif.mobile.application.android

com.ocito.cdn.activity.creditdunord

fr.axa.monaxa

fr.banquepopulaire.cyberplus

fr.banquepopulaire.cyberplus.pro

fr.creditagricole.androidapp

fr.lcl.android.customerarea

fr.lemonway.groupama

mobi.societegenerale.mobile.lappli

net.bnpparibas.mescomptes


com.comarch.mobile

com.getingroup.mobilebanking

com.konylabs.cbplpat

eu.eleader.mobilebanking.pekao

eu.eleader.mobilebanking.raiffeisen

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ing.ingmobile

pl.mbank

pl.pkobp.iko

wit.android.bcpBankingApp.millenniumPL


com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.pozitron.iscep

com.tmobtech.halkbank

com.vakifbank.mobile

com.ykb.android

com.ziraat.ziraatmobil


ca.bnc.android

com.americanexpress.android.acctsvcs.us

com.chase.sig.android

com.cibc.android.mobi

com.citi.citimobile

com.clairmail.fth

com.coinbase.android

com.creditkarma.mobile

com.discoverfinancial.mobile

com.fi9228.godough

com.firstpremier.mypremiercreditcard

com.infonow.bofa

com.jpm.sig.android

com.moneybookers.skrillpayments

com.paybybank.westernunion

com.paypal.android.p2pmobile

com.pnc.ecommerce.mobile

com.suntrust.mobilebanking

com.tdbank

com.td

com.transferwise.android

com.unionbank.ecommerce.mobile.android

com.usaa.mobile.android.usaa

com.usb.cps.axol.usbc

com.wf.wellsfargomobile

me.doubledutch.rbccapitalmarkets


劫持sdk<=22设备


下图通过读取android系统下proc文件夹的相关信息,获取sdk>22 设备的顶层应用包名。

获取sdk>22顶层包名


如果当前运行应用与待劫持的银行应用匹配,恶意代码将联系C&C服务端来返回仿冒的银行登录界面,并利用webview加载。如打开银行应用com.garenti.cepsubesi,木马会发出packageName+deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局,可推测该黑产由网站钓鱼转型移动app劫持钓鱼。


分析发现在钓鱼页面内插入了一段js,可将用户输入的银行账号密码发送到服务端。

钓鱼界面


提交用户输入


该木马通过远程指令可打开短信拦截开关,截取银行发送的认证短信,并从短信箱删除银行消息。


攻击者顺利截获受害者银行账号、密码、校验短信,成功绕过双因素认证,这样受害者不仅仅构造成了一个可以被攻击者控制的移动僵尸网络,更成了攻击者的天然提款机,如同自己私人银行一般。

安全建议

1. 用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接。

2. 如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。


-------------------------------------------------------------------

更多阿里安全类技术文章,请访问阿里聚安全官方博客

 

 

 

本文来自合作伙伴“阿里聚安全”,发表于2017年03月06日 10:09.

 
相关文章
|
24天前
|
存储 Java API
详细解析HashMap、TreeMap、LinkedHashMap等实现类,帮助您更好地理解和应用Java Map。
【10月更文挑战第19天】深入剖析Java Map:不仅是高效存储键值对的数据结构,更是展现设计艺术的典范。本文从基本概念、设计艺术和使用技巧三个方面,详细解析HashMap、TreeMap、LinkedHashMap等实现类,帮助您更好地理解和应用Java Map。
41 3
|
1月前
|
存储 编译器 数据安全/隐私保护
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解2
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解
29 3
|
1月前
|
编译器 C++
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解1
【C++篇】C++类与对象深度解析(四):初始化列表、类型转换与static成员详解
45 3
|
1月前
|
程序员 开发者 Python
深度解析Python中的元编程:从装饰器到自定义类创建工具
【10月更文挑战第5天】在现代软件开发中,元编程是一种高级技术,它允许程序员编写能够生成或修改其他程序的代码。这使得开发者可以更灵活地控制和扩展他们的应用逻辑。Python作为一种动态类型语言,提供了丰富的元编程特性,如装饰器、元类以及动态函数和类的创建等。本文将深入探讨这些特性,并通过具体的代码示例来展示如何有效地利用它们。
35 0
|
3月前
|
缓存 Java 开发者
Spring高手之路22——AOP切面类的封装与解析
本篇文章深入解析了Spring AOP的工作机制,包括Advisor和TargetSource的构建与作用。通过详尽的源码分析和实际案例,帮助开发者全面理解AOP的核心技术,提升在实际项目中的应用能力。
45 0
Spring高手之路22——AOP切面类的封装与解析
|
3月前
|
开发者 编解码
界面适应奥秘:从自适应布局到图片管理,Xamarin响应式设计全解析
【8月更文挑战第31天】在 Xamarin 的世界里,构建灵活且适应性强的界面是每位开发者的必修课。本文将带您探索 Xamarin 的响应式设计技巧,包括自适应布局、设备服务协商和高效图片管理,帮助您的应用在各种设备上表现出色。通过 Grid 和 StackLayout 实现弹性空间分配,利用 Device 类检测设备类型以加载最优布局,以及使用 Image 控件自动选择合适图片资源,让您轻松应对不同屏幕尺寸的挑战。掌握这些技巧,让您的应用在多变的市场中持续领先。
39 0
|
3月前
|
存储 开发者 Ruby
【揭秘Ruby高手秘籍】OOP编程精髓全解析:玩转类、继承与多态,成就编程大师之路!
【8月更文挑战第31天】面向对象编程(OOP)是通过“对象”来设计软件的编程范式。Ruby作为一种纯面向对象的语言,几乎所有事物都是对象。本文通过具体代码示例介绍了Ruby中OOP的核心概念,包括类与对象、继承、封装、多态及模块混合,展示了如何利用这些技术更好地组织和扩展代码。例如,通过定义类、继承关系及私有方法,可以创建具有特定行为的对象,并实现灵活的方法重写和功能扩展。掌握这些概念有助于提升代码质量和可维护性。
36 0
|
3天前
|
监控 Java 应用服务中间件
高级java面试---spring.factories文件的解析源码API机制
【11月更文挑战第20天】Spring Boot是一个用于快速构建基于Spring框架的应用程序的开源框架。它通过自动配置、起步依赖和内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。本文将深入探讨Spring Boot的背景历史、业务场景、功能点以及底层原理,并通过Java代码手写模拟Spring Boot的启动过程,特别是spring.factories文件的解析源码API机制。
16 2
|
1月前
|
缓存 Java 程序员
Map - LinkedHashSet&Map源码解析
Map - LinkedHashSet&Map源码解析
67 0
|
1月前
|
算法 Java 容器
Map - HashSet & HashMap 源码解析
Map - HashSet & HashMap 源码解析
52 0

推荐镜像

更多