在Google Play 商店上發現了 BankBot 銀行木馬變體

2021-02-14 看雪學院

安卓BankBot銀行木馬(所有的變體由Trend Micro首先發現並命名為ANDROIDOS_BANKBOT)今年1月首次出現,變體的開原始碼被洩漏於某地下黑客論壇。BankBot非常危險,因為它將自己偽裝成合法的銀行APP,通常通過在屏幕上覆蓋一層以模仿已有的銀行APP,並盜取用戶密碼。BankBot也可以劫持並攔截SMS消息,這意味著它可以繞過基於SMS的雙重認證。

 

這一年裡,BankBot一直作為一種良好的程序進行發布,這使得他們得以進行流行的應用商店。在2017年4月以及7月,被BankBot感染的APP在Google Play中被發現以娛樂和在線銀行APP的形式出現。在這兩個月中發現了20個以上的BankBot木馬。

 

最近我們發現5個新的BankBot APP,其中4個偽裝成通用APP混進了Google Play商店。其中兩個馬上被移除了,而另兩個待了足夠長時間才被移除,長到足夠少量用戶下載它們。其中一個特殊的BankBot APP被下載了5000-10000次。

 

這個新的BankBot變體針對27個不同國家的合法銀行APP。當然,針對的APP的總數從150上升到160。10個阿聯銀行APP新加入到列表上。

 

BankBot的最新版本只會在設備滿足下列三個條件時生效:

運行環境是真實的設備

設備位置不在獨立國家國協上

目標銀行APP被安裝在設備上


當BankBot被安裝並運行時,它會檢查設備上的APP包信息。如果有某個目標銀行APP,BankBot會試圖連接到它的C&C伺服器並上傳目標的包名和標籤。C&C伺服器將發送一個URL給BankBot,這樣它就能下載用於覆蓋web頁面的庫文件。這個頁面會顯示在合法的銀行APP的上面,並用於盜取用戶的信息。

 

在BankBot從URL中下載了庫文件後,它會將它解壓到APK目錄下(/data/data/packagename/files).下列代碼展示了BankBot的給銀行APP的發送列表。

{

「mod」: 「Motorola Nexus 6」,

「vers」: 「5.1.1」,

「app」: 「sky_flash」,

「fire」: 「cODqrG8XK04:APA91bGYbM7U2KI2f_f9zI0OL6Lc5a-vkNhNot9uEptDfhNCHbp05ONceCeV-HPk2F1tZA0zZ-S3YbptAq6V4Nnfl1GXe7g19ofWK-Wi9lD0N3qZf7nBJEptQOVs33WO8i3eCpOSrVbR」,

「dr」: 「4506126840cc9bf9」,

「loc」: 「US」,

「app5」: {

「%Android application Package Name1%」: 「%targeted bank1%」,

「%Android application Package Name2%」: 「%targeted bank2%」,

「%Android application Package Name3%」: 「%targeted bank3%」

}

圖1. C&C 回應的庫文件URL

C&C伺服器會使用"success"消息在一個小時後進行確認。這種延遲可能是用於規避反病毒軟體檢測的一種策略,也有可能僅僅是用於生成為設備令牌準備的假web頁面。

 

當伺服器準備好後,或者說它完成了web頁面的準備後,它會發送另一個URL給BankBot以獲取假web頁面的數據。

 

圖2. BankBot下載的覆蓋頁面

在web頁面被下載後,BankBot控制設備,在目標銀行應用程式運行時,將這個頁面顯示在銀行APP頁面的屏幕上。這個頁面會使受害者認為他們正在使用他們日常使用的銀行APP,欺騙他們在BankBot的假頁面上輸入他們的密碼。


當面對阿聯銀行APP,BankBot的新變體就會有額外的步驟。並不是直接顯示虛擬的頁面,而是提示用戶輸入他們的手機號。然後C&C伺服器就會通過Firebase消息發送一個pin碼給受害者。在輸入了pin碼後,受害者會被要求輸入銀行細節信息。接下來,BankBot將會顯示一個"錯誤頁面"(儘管信息是正確的)並再次要求輸入細節。

圖3. 虛假的阿聯航空公司銀行APP的屏幕

下列細節描述上面圖片中的每一步:

提示驗證

輸入手機號

輸入C&C伺服器的pin碼

輸入帳號密碼

錯誤信息

再次輸入帳號細節

慣例操作

很顯然,BankBot的開發者想要驗證受害者的銀行細節信息。他們請求了兩次信息,以防用戶第一次沒有輸入正確。BankBot只會在帳號信息輸入兩次之後,才會把盜取的數據發送給C&C伺服器。

圖4. 谷歌應用商店上的BankBot APP

BankBot似乎想要擴大的覆蓋範圍,並試驗他們的新技術,這一問題值得受到關注,因為銀行APP正在變得無處不在。根據最近的研究,在中東和非洲的移動銀行用戶在2017年之前已經超過了8千萬,另一份來自於ArabNet的報告指出,阿聯的用戶在中東和北非地區有著非常高的移動銀行APP使用率。隨著越來越多的人採用了這一技術,這些APP會吸引更多的網絡罪犯。

 

為了和這一威脅作鬥爭,用戶應該進行適當的移動安全和網絡帳戶的練習。任何持有銀行帳號的設備都應該受到有效的保護,且應擁有多重安全保護。用戶可以使用綜合的反病毒軟體增強他們的防禦,比如 Trend Micro Mobile Security for Android(可以在Google Play上下載到),這些APP可以在木馬或病毒被安裝並造成威脅之前,將這些威脅阻攔在APP商店之外。Trend Micro的 Mobile App Reputation Service (MARS)已經在安卓平臺和IOS平臺都上線了,它使用沙盒和機器學習技術來防禦這些威脅。它能使用戶防禦惡意軟體,0day漏洞和已知的各種漏洞,隱私洩漏和應用漏洞。


擁有下列hash值的文件與這些威脅相關:

4D417C850C114F2791E839D47566500971668C41C47E290C8D7AEFADDC62F84C

6FD52E78902ED225647AFB87EB1E533412505B97A82EAA7CC9BA30BE6E658C0E

AE0C7562F50E640B81646B3553EB0A6381DAC66D015BAA0FA95E136D2DC855F7

CF46FDC278DC9D29C66E40352340717B841EAF447F4BEDDF33A2A21678B64138

DE2367C1DCD67C97FCF085C58C15B9A3311E61C122649A53DEF31FB6

本文由看雪翻譯小組 夢野間 編譯,來源TrendLab's security intelligence blog@TrendMicro

轉載請註明來自看雪社區

熱門閱讀

點擊閱讀原文/read,

更多乾貨等著你~

相關焦點

  • 銀行木馬Trickbot新模塊:密碼抓取器分析
    Trickbot曾經是一個簡單的銀行木馬,已經走過了漫長的道路。
  • 攔截簡訊繞過雙因素認證:安卓銀行木馬Anubis分析
    考慮到許多研究人員都會在Twitter上分享調查取證的技巧和觀點,我特地在社交網絡搜索了相關的關鍵詞,最終發現@LukasStefanko和@nullcookies這兩位研究者也在尋找用於Android惡意軟體的C&C伺服器,這一方向與我不謀而合。在研究過程中,日誌可以有助於我們理解這類木馬所造成的破壞性。隨後,我鎖定了目標。
  • BankBot木馬瞄準Google Play應用商店
    E安全8月25日訊 BankBot木馬正濫用Android輔助功能(Accessibility),試圖安裝未經用戶許可的惡意程序。
  • TrickBot銀行木馬傳入我國,專門竊取國外銀行登錄憑據
    ,黑客在釣魚文檔中嵌入惡意VBA代碼,宏代碼通過創建和執行CMD腳本以及VBS腳本下載和傳播銀行木馬TrickBot。監測數據顯示,該木馬已影響我國部分企業,中毒電腦系統信息及訪問國外銀行的登錄信息會被竊取,受TrickBot銀行木馬影響較嚴重的地區為浙江,廣東,北京等地。TrickBot在2016年左右被發現,會在受害者通過瀏覽器訪問在線銀行時竊取網銀信息,攻擊目標包括澳大利亞、紐西蘭、德國、英國、加拿大、美國、以色列和愛爾蘭等國銀行系統,有國外研究者認為該組織已收集了2.5億個電子郵箱。
  • 針對新型銀行木馬病毒DanaBot的分析
    2018年的黑客攻擊方式已經發生了明顯的轉變,從過去直接實施大規模的、具有瞬間破壞性的勒索軟體活動轉變成了如今專注於利用銀行木馬。在Proofpoint的研究人員目前觀察到的電子郵件攻擊樣本中,銀行木馬佔了將近60%的惡意載荷量。現在,一種新的銀行木馬——DanaBot已經出現,它直接擴大了電子郵件攻擊的數量級,並增加了惡意郵件活動的多樣性。
  • TrickBot 銀行木馬傳入我國,專門竊取國外銀行登錄憑據
    VBA代碼,宏代碼通過創建和執行CMD腳本以及VBS腳本下載和傳播銀行木馬TrickBot。監測數據顯示,該木馬已影響我國部分企業,中毒電腦系統信息及訪問國外銀行的登錄信息會被竊取,受TrickBot銀行木馬影響較嚴重的地區為浙江,廣東,北京等地。TrickBot在2016年左右被發現,會在受害者通過瀏覽器訪問在線銀行時竊取網銀信息,攻擊目標包括澳大利亞、紐西蘭、德國、英國、加拿大、美國、以色列和愛爾蘭等國銀行系統,有國外研究者認為該組織已收集了2.5億個電子郵箱。
  • 安全客簡報 | BankBot銀行木馬重現江湖,可繞過谷歌安全檢查
    BankBot銀行木馬重現江湖,可繞過谷歌安全檢查▼BankBot首次發現於今年一月份。當時一款未命名銀行木馬的原始碼出現在地下黑市,隨後被整合成BankBot。近期,BankBot銀行木馬重返江湖,設法繞過谷歌安全審查直抵谷歌應用商店。
  • Google Play商店
    終端上的谷歌官方商店,在這裡一位用戶都可以在其中購買電影,音樂,書籍和所有的應用程式,擁有上架軟體數十萬款,下載量更是突破了20億次,為了廣大安卓手機用戶提供了極為廣泛的應用選擇,很受用戶們的歡迎。功能介紹排行榜和類別用戶可從一系列排行榜中發現最熱門的應用和遊戲以及熱度上升最快的應用和遊戲,也可以瀏覽 40 多種熱門類別的應用和遊戲。對於家長來說,他們還可以發現面向家庭的類別,可在其中輕鬆找到值得信賴的適合家庭和兒童的應用和遊戲。除了推介新應用之外,熱度上升算法還會重點展示其熱度因質量改進而上升的現有應用。
  • 【安全熱報】入侵超過2.5億帳號的銀行木馬Trickbot,再「變身」攻擊Windows 10
    近日,安全研究人員發現了幾波獨立的網絡攻擊活動,均顯示出銀行木馬Trickbot最新變種已經升級了防禦躲避技術。
  • 【安全圈】Google應用商店審核不嚴,銀行木馬APP被下載10萬+
    Android用戶的Cerberus銀行木馬。與銀行惡意軟體一樣,Cerberus偽裝成真正的應用程式,以便訪問毫無戒心的用戶的銀行業務詳細信息。不太常見的是銀行木馬成功地潛入了Google Play商店。在這種情況下,「正版」應用是由一個稱為「 Calculadora de Moneda」的西班牙貨幣轉換器構成的。根據我們的研究,在商店可以使用的最初幾周內隱藏了惡意意圖。
  • google play商店的鏡像商店apkpure
    如果你沒有安裝google play商店的可以安裝它的鏡像商店apkpure安裝的方法非常的簡單直接點開文章底部閱讀原文下載安裝
  • 谷歌應用商店現木馬程序、百萬WiFi路由器面臨漏洞風險|12月6日全球網絡安全熱點
    卡巴斯基發現更多Google Play商店應用程式包含木馬惡意軟體 卡巴斯基惡意軟體分析師稱,已發現更多Google Play商店應用程式包含惡意軟體,包括特洛伊木馬程序。如果您將它們正確下載到手機上,最好立即將其刪除。
  • 揭秘:安卓木馬是如何盜取用戶手機銀行的
    但是,隨著手機銀行涉及的金錢數額越來越大,攻擊者要找到更多創造性的方式來竊取金錢。就在上周,新加坡銀行協會(ABS)發布了公告稱手機銀行惡意軟體感染安卓智能機的數量大幅上升。我們很有興趣深入研究這種新興的威脅,之後我們發現了一個目標是手機銀行app的安卓惡意軟體,於是我們對它展開了進一步研究。
  • 新的Win 10 UAC繞過技術:「病毒播種機」Trickbot木馬新變種來襲
    Trickbot,自 2016 年以來影響範圍最廣的銀行木馬之一。
  • Google Play商店漏洞:黑客可遠程在你的安卓手機上安裝惡意APP
    安全研究人員發現Google Play商店中兩個嚴重安全漏洞,可以允許攻擊者遠程在用戶的安卓設備上安裝並下載惡意APP
  • 支付寶被Google Play應用商店下架了
    今天,有人在V2EX論壇上發帖詢問,「支付寶被 google play 下架了?」
  • Google Play商店之外下載Android應用的方法
    區別於內地的Android手機市場,境外的Android手機上的應用大都從官方的Google Play商店下載APP。
  • Android銀行木馬——Red Alert 2.0偽裝成合法程序進行傳播
    上圖左側顯示的網頁託管在一個看似正常的域free-vpn[.]download,在調查過程中,此域名雖然已被攻擊者註冊,但尚未使用。 如上圖所示,偽裝的網頁使用了與Google Play商店中的合法VPN應用程式(VPN代理主機)類似的配色方案和圖標設計。不過,該偽裝程序並沒有完全確定該應用名稱。
  • 惡意銀行木馬正在偷竊你的血汗錢
    >不過拉到底有乾貨哦~近日,安全研究員在Google Play應用商店裡發現了一個偽裝成手機應用軟體的惡意銀行木馬。更可怕的是,它也可以發揮正常的通話錄音功能,使用者完全察覺不到這是一個銀行木馬!安裝後,它將強制性獲得用戶的隱私授權,要是用戶不同意授權,就不能使用該軟體。而黑客會在安裝後的24小時內將其指令發送到應用程式,其中一個指令是掃描設備以查找特定的銀行應用程式。