背景

來自安全公司Dr.Web的研究人員說，最近一個(gè)未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期，阿里聚安全檢測(cè)到大量新型BankBot家族木馬，木馬偽裝成Good Weather、Flash Plаyеr、Play Мa(chǎn)pкeт、follon.weather等應(yīng)用，可劫持全球至少50家大型銀行手機(jī)用戶。

特點(diǎn)：新型BankBot木馬配置靈活，執(zhí)行開關(guān)受服務(wù)端控制；根據(jù)C&C端下發(fā)的指令進(jìn)行遠(yuǎn)程控制；竊取用戶隱私，對(duì)全球多家金融類app劫持，釣魚登錄界面，進(jìn)而截獲、捕捉用戶輸入數(shù)據(jù)，最終非法入侵用戶互聯(lián)網(wǎng)賬戶系統(tǒng)。

木馬運(yùn)行流程如下：

是否觸發(fā)惡意代碼

BankBot木馬啟動(dòng)后會(huì)請(qǐng)求C&C端，判斷是否執(zhí)行惡意代碼，若服務(wù)端返回非“0”則執(zhí)行惡意代碼。

該木馬直接隱藏圖標(biāo)，并啟動(dòng)核心服務(wù)ge45g45gsdfsadfg，該服務(wù)使用CUP喚醒鎖可常駐后臺(tái)。

核心服務(wù)

控制電源狀態(tài)為PARTIAL_WAKE_LOCK模式和使用CPU時(shí)鐘鎖，使核心服務(wù)常駐后臺(tái)。惡意行為如下：

• 強(qiáng)制激活設(shè)備管理；

• 上傳當(dāng)前木馬運(yùn)行環(huán)境，包括：設(shè)備基本信息、是否管理激活、是否存在鎖屏密碼、是否短信攔截，用戶安裝的銀行類app名；

• 服務(wù)端下發(fā)指令實(shí)施遠(yuǎn)程控制；

• 啟動(dòng)劫持服務(wù)

下圖上傳木馬運(yùn)行環(huán)境

↑ 上傳設(shè)備狀態(tài)

↑ 上傳已安裝銀行app

上傳數(shù)據(jù)由自身加密算法編碼，解密結(jié)果：3592500503912**:1:1:0、3592500503912**:(中國(guó)聯(lián)通)+86186670157**:4.4.2????|AlfaB_RU|
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數(shù)據(jù)告訴控制端當(dāng)前設(shè)備ID、木馬已拿到管理激活、設(shè)備存在鎖屏密碼、還未配置短信攔截、用戶已安裝AlfaB、paypal、UBank銀行app。

隨后C&C端返回控制指令，指令解析如下。

劫持分析

當(dāng)受害人打開合法銀行app時(shí)，該木馬監(jiān)控到此行為，加載偽裝的銀行頁面 ,并覆蓋真實(shí)銀行app界面。對(duì)于界面劫持攻擊，最重要的一步就是誘騙受害者進(jìn)入他們偽造的登錄界面，因此，假冒的銀行登錄窗口得與原生窗口非常相似，讓用戶很難區(qū)分真?zhèn)巍?/p>

另外的一些釣魚界面。

受害者的設(shè)備ID是與木馬控制端交互的標(biāo)示號(hào)，并根據(jù)受害人設(shè)備上的銀行app在控制端準(zhǔn)備偽造的登錄界面。全世界各大金融app都無幸免，包括知名的Paypal、American Express、英國(guó)巴克萊銀行、蘇格蘭皇家銀行等：

at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank

com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de

com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes

com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil

ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets

↑ 劫持sdk<=22設(shè)備

下圖通過讀取android系統(tǒng)下proc文件夾的相關(guān)信息，獲取sdk>22 設(shè)備的頂層應(yīng)用包名。

↑ 獲取sdk>22頂層包名

如果當(dāng)前運(yùn)行應(yīng)用與待劫持的銀行應(yīng)用匹配，惡意代碼將聯(lián)系C&C服務(wù)端來返回仿冒的銀行登錄界面，并利用webview加載。如打開銀行應(yīng)用com.garenti.cepsubesi，木馬會(huì)發(fā)出packageName＋deviceId的請(qǐng)求來接受釣魚頁面。此惡意軟件釣魚頁面都以HTML來布局，可推測(cè)該黑產(chǎn)由網(wǎng)站釣魚轉(zhuǎn)型移動(dòng)app劫持釣魚。

分析發(fā)現(xiàn)在釣魚頁面內(nèi)插入了一段js，可將用戶輸入的銀行賬號(hào)密碼發(fā)送到服務(wù)端。

↑ 釣魚界面

↑ 提交用戶輸入

該木馬通過遠(yuǎn)程指令可打開短信攔截開關(guān)，截取銀行發(fā)送的認(rèn)證短信，并從短信箱刪除銀行消息。

攻擊者順利截獲受害者銀行賬號(hào)、密碼、校驗(yàn)短信，成功繞過雙因素認(rèn)證，這樣受害者不僅僅構(gòu)造成了一個(gè)可以被攻擊者控制的移動(dòng)僵尸網(wǎng)絡(luò)，更成了攻擊者的天然提款機(jī)，如同自己私人銀行一般。

安全建議

1. 用戶下載應(yīng)用請(qǐng)到官方網(wǎng)站或安全應(yīng)用市場(chǎng)，切勿點(diǎn)擊任何色情鏈接，尤其是短信、QQ、微信等聊天工具中不熟識(shí)的“朋友”發(fā)來的鏈接。

2. 如果不確定手機(jī)是否毒，可以安裝阿里錢盾等手機(jī)安全軟件，對(duì)手機(jī)上的應(yīng)用進(jìn)行檢測(cè)，防止高風(fēng)險(xiǎn)惡意應(yīng)用的安裝。

**作者：逆巴@阿里聚安全**

更多阿里安全類技術(shù)文章，請(qǐng)?jiān)L問阿里聚安全官方博客

延伸閱讀

• 阿里移動(dòng)安全 [無線安全]玩轉(zhuǎn)無線電——不安全的藍(lán)牙鎖 2017-07-26
• 阿里移動(dòng)安全 Android端惡意鎖屏勒索應(yīng)用分析 2017-07-26
• 阿里移動(dòng)安全 Petya勒索病毒疫苗出現(xiàn)，分分鐘讓電腦對(duì)病毒免疫 2017-07-20
• 阿里移動(dòng)安全 Android后門GhostCtrl，完美控制設(shè)備任意權(quán)限并竊取用戶數(shù)據(jù) 2017-07-20
• 阿里移動(dòng)安全 Ztorg木馬分析： 從Android root木馬演變到短信吸血鬼 2017-07-06
• 阿里移動(dòng)安全 《阿里聚安全2016年報(bào)》 2017-06-13
• 阿里移動(dòng)安全 面對(duì)勒索軟件，除了交贖金，還能怎么辦？ 2017-03-15
• 阿里移動(dòng)安全 《阿里聚安全2016年報(bào)》 2017-03-10
• 阿里移動(dòng)安全 來自高維的對(duì)抗 - 逆向TinyTool自制 2017-03-01
• 阿里移動(dòng)安全 驗(yàn)證碼的前世今生（前世篇） 驗(yàn)證碼的前世今生（前世篇） 2017-02-09

學(xué)習(xí)是年輕人改變自己的最好方式