雙十二期間,奇安信威脅情報中心移動安全團隊監測發現,一個偽冒國內銀行應用的的信息竊取木馬新家族「BYL」,展開了新一輪網絡滲透傳播。據奇安信數據監測雷達顯示,該木馬家族在短短四天內(截至2020年12月16日),已經影響國內大量用戶。
據了解,早在2020年7月,奇安信威脅情報中心移動安全團隊便首次揭露了該木馬家族。為了繞過安全設備的檢測規則,在新一輪攻擊中,該團夥更換了全新的域名等網絡資產。
發現網絡釣魚
分析發現,攻擊團夥精心偽造了銀行應用的釣魚下載頁面,誘使受害者下載並安裝攻擊團夥的假冒應用。應用啟動後會,攻擊團夥便可通過釣魚頁面竊取用戶銀行APP登陸憑證、姓名、身份證號、銀行卡號、支付密碼、驗證碼,並將竊取的信息傳送回攻擊者的伺服器中。
已影響國內31個省(自治區、直轄市)
分析人員通過奇安信威脅情報平臺(https://ti.qianxin.com/)進行進一步關聯分析發現,該惡意家族使用的域名均是在2020年12月12日開通,截至12月16日,短短四天內該木馬家族已經蔓延至全國31個省(自治區和直轄市)。
根據奇安信威脅情報中心大數據統計,該樣本在12月12日投發的數天中,共影響到國內31個省(自治區和直轄市),受影響用戶量級為千級,其中內蒙古8.7%、上海5.5%、四川5.1%為全國感染量最多的三個地區。
奇安信安全建議
針對普通用戶如何避免遭受移動端上的攻擊,奇安信威脅情報中心移動安全團隊提供以下防護建議:
(1) 在正規的應用商店下載應用。國內的用戶可以在手機自帶的應用商店下載,國外用戶可以在google play下載。不要安裝不可信來源的應用、不要隨便點擊不明URL或者掃描安全性未知的二維碼。
(2) 行動裝置及時在可信網絡環境下進行安全更新,不要輕易使用外來的網絡環境。
(3) 對請求應用安裝權限、激活設備管理器等權限的應用要特別謹慎,一般來說普通應用不會請求這些權限,特別是設備管理器,正常的應用機會沒有這個需求。
(4) 確保安裝有手機安全軟體,進行實時保護個人財產安全;如安裝奇安信移動安全產品。
目前,奇安信移動安全產品及威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對此類攻擊的精確檢測。
附錄A:奇安信威脅情報中心移動安全團隊
奇安信威脅情報中心移動安全團隊一直致力移動安全領域及Android安全生態的研究。目前,奇安信的移動安全產品除了可以查殺常見的移動端病毒木馬,也可以精準查殺時下流行的刷量、詐騙、博彩、違規、色情等黑產類軟體。通過其內部分析系統可以有效支持對溯源分析等追蹤。通過其高價值攻擊發現流程已捕獲到多起攻擊事件,並在今年發布了多篇移動黑產報告,對外披露了三個APT組織活動,其中兩個是首發的新APT組織(諾崇獅組織和此次的利刃鷹組織)。未來我們還會持續走在全球移動安全研究的前沿,第一時間追蹤分析最新的移動安全事件、對國內移動相關的黑灰產攻擊進行深入挖掘和跟蹤,為維護移動端上的網絡安全砥礪前行。
附錄B:奇安信移動產品介紹
奇安信移動終端安全管理系統(天機)是面向公安、司法、政府、金融、運營商、能源、製造等行業客戶,具有強終端管控和強終端安全特性的移動終端安全管理產品。產品基於奇安信在海量移動終端上的安全技術積澱與運營經驗,從硬體、OS、應用、數據到鏈路等多層次的安全防護方案,確保企業數據和應用在移動終端的安全性。
奇安信移動態勢感知系統是由奇安信態勢感知事業部及其合作夥伴奇安信威脅情報中心移動團隊合力推出的一個移動態勢感知管理產品。不同於傳統移動安全廠商著重於APP生產,發布環節,為客戶提供APP加固、檢測、分析等;移動態勢感知面向具有監管責任的客戶,更加著重於APP的下載,使用環節,摸清轄區範圍內APP的使用情況,給客戶提供APP違法檢測、合規性分析、溯源等功能。