瞄准“两牙”:新型银行木马攻击葡萄牙和西班牙语用户
近期,研究人员分析了一种新的Android银行木马,该木马似乎针对说西班牙语或葡萄牙语的国家(即西班牙、葡萄牙、巴西和拉丁美洲等地区)。该木马程序基于现有简单程序SMSstealer.BR建立,但是添加了更复杂的功能。这类恶意软件其中部分被称为“Banker.BR”。
目前,恶意软件正通过短信传播,这些短信将用户引导到攻击者控制的恶意域。这些信息通知用户下载移动银行需要用到的虚假安全应用的最新版本。一旦用户单击下载,那么就会从合法文件共享平台开始下载。
鉴于这个虚假应用是从第三方来源下载的,因此默认情况下不会在Android设备上授权执行操作,接下来就给用户提供指导,如何通过设备的“设置”菜单启用侧面加载。
图1:新的银行恶意软件要求用户启用侧面加载
在当前状态下,这种新型恶意软件可以通过覆盖攻击启用网络钓鱼,从而窃取用户的网络银行凭据,并接管用户的银行帐户,还可以通过短信发送的验证码盗窃两因素身份验证(2FA)。种种方式都可以帮助攻击者从受害者的银行帐户中完成欺诈性交易。
新型代码库
根据研究人员分析,Banker.BR的代码是全新的,并且不依赖于先前泄漏的代码或现有的移动恶意软件。尽管现在已经发现了该木马的早期版本,该木马仅具有基本的SMS窃取程序,本文着重介绍了新型的、更加复杂的“屏幕覆盖攻击”恶意软件功能,这是Android银行恶意软件所共有的策略。
在最开始的时候,这种恶意软件只能窃取SMS消息,使用该恶意软件的攻击者很可能从其他来源(例如网络钓鱼攻击和地下凭据供应商)获得了用户凭据。随着其不断发展,它增加了覆盖攻击功能,在网络钓鱼阶段就可以感染用户设备。
尽管它具有和同类恶意软件相同的功能,但它没有实时从其C&C服务器中提取重叠图像的功能,因为这要求在设备自身的资源中调用嵌入式屏幕,所有它会比其他使用这类方法的恶意软件来得迟钝。
虽然大多数应用都是使用Java / Kotlin编程语言实现的,而Java / Kotlin编程语言是Android Studio开发基础平台的一部分,但Banker.BR的编程语言是B4X编程语言。B4X是Visual Basic的现代版本,它是用于创建Android和iOS操作系统的应用程序快速集成开发环境(IDE)套件的一部分。它通常不用于创建恶意软件应用程序。
缺乏反研究功能
研究人员还注意到尚且还不属于恶意软件整体部署的一些特征:
尽管使用利基IDE确实会产生开销代码,而反向打包更具挑战性,但不打包或混淆该恶意软件会让反向工程更容易实现。
与类似的恶意软件不同,新型木马在设备安装之前,不会验证它是否已在虚拟环境中运行或是否正在调试。从这个意义上讲,它缺乏反研究功能,因此更易于分析。
我们找不到任何代理功能或任何调用操作功能。
建立持久性
使用可传播的接收器能让银行木马长期存在。接收器是一个Android组件,允许应用程序获取有关系统和应用程序事件的通知。在这种情况下,恶意软件应用程序将会得知ACTION_BOOT_COMPLETED系统事件,一旦系统完成新的启动过程,这些事件通知就会发送出去。
当收到系统通知时,恶意软件会自行运行,而无需用户干预。
恶意许可授予
Banker.BR往往会滥用无障碍服务,不询问用户或无需用户参与就为自身授予所需权限。从编程手法上来说,要想实现这个目的,只要要求用户允许或者拒绝运行权限即可,比如点击屏幕上的“允许”按钮。
该恶意软件的执行速度比人类快,因此不会给用户提供任何机会做出反应或拒绝该恶意软件接收其要求的权限。一旦允许初始操作,Banker.BR可以进一步为其自身授予其他权限。
图2:自动批准权限
该恶意软件寻求的权限包括:
读取手机状态
摄像头访问
阅读通讯录
阅读和接收短信
写入外部存储
图3:Banker.BR权限列表
泄露设备信息和SMS内容
安装后,恶意软件会收集一些设备信息,并将其发送到攻击者的C&C,后者是硬编码到恶意软件中的域地址。此信息包括以下内容:
电话号码
国际移动设备识别码(IMEI)
国际移动订户身份(IMSI)
SIM序列号(SSN)
恶意软件为每个设备随机分配的唯一Bot ID
该恶意软件处于活跃状态时,还可以窃取和泄露SMS消息,抓取银行或其他服务提供商发送给用户的2FA代码。该恶意软件注册了一个接收器,可以在运行时处理新接收到的SMS(SMS_RECEIVED),并且不再Manifest中显示,这样子用户就看不到了。
图4:Banker.BR SMS控件
“守株待兔”
Banker.BR在设备后台“按兵不动”,监视用户打开的应用程序“守株待兔”,等待目标应用程序的启动。
设备上的辅助功能服务是Android恶意软件应用程序监视前台运行APP的常见手段。恶意软件等待匹配,在合适的时间和情境下启动覆盖屏幕来欺骗用户,并将他们的凭证放到叠加层中。
图5:恶意软件正在等待有针对性的应用程序启动
通过监听onaccessibilityevent和事件类型TYPE_WINDOW_STATE_CHANGED可以实现,这将意味着用户界面会发生变化。
接下来,恶意软件调用_acs_onactivitynameretrieved函数,该函数将验证活动名称是否与其目标匹配。如果检测到匹配项,则该恶意软件将在相应的覆盖屏幕上调用与该银行应用程序相匹配的界面。
图6:银行名称模糊的针对Banker.BR的应用程序
覆盖屏幕通常会显示银行的徽标,并要求用户提供登录凭据。
与此类中的其他恶意软件不同,覆盖屏幕被嵌入到恶意软件中,而不是从攻击者的C&C服务器中实时获取的。这是一种不太灵活的方法,不允许对假屏幕进行即时更新,而需要进行恶意软件更新才能交付更改。它还会将所有可用屏幕暴露给分析恶意软件的外部人员。
图7:示例叠加屏幕,要求用户输入其帐户登录凭据
攻击对象
目前,研究人员观察到这种新型恶意软件主要针对巴西的银行。在某些情况下,攻击目标也扩大到世界其他地区,即西班牙、葡萄牙和整个拉丁美洲,这或许可以表明攻击者的所处位置或来源。
通过更改目标列表和嵌入式屏幕,从而修改其攻击范围和潜在目标,可以非常轻松地将这种类型的恶意软件重定向到其他区域。它可以定位到银行,但也可以定位到设备上任何其他应用程序的用户凭据,或以Google Play商店请求为幌子窃取支付卡数据。
研究人员指出,Banker.BR正在不断发展,将为新的目标银行添加新屏幕样式,并在未来几个月内有望增强代码。
危害指标(IoC)
早期版本的SHA-256-仅SMS窃听器
39a197185f7fa277108c2f240dda7ebbe174f8740ba78d8f88f1eb448b60159e fae34dd516a00dc0c2c2cc8e5a026648f3a60db66cc3c480ff605daf04e25d1c 165394fecd7dcfa01a3c5d60489fe51c87aa7743f3775cd9c075988142fa0dd6 710ef119c573857e4607da5a36ddb9846db43b2ba44b257ebaf98d21ef40f7f6 0f1077ea1b0b39f7cbd3f00edac251c2f10cae578e37818184cc00b3853d1b49 b55bb0515d55c85afdc0da5afdf9dd9ff57b4b7c6ddfdda41d761d5d256118e7 cbc72184561f3b98c80a3901c6bcbcd648266fcb5724329db2a01569c0e46057 48a4210c09dd8539d386d80139fd38170cad06b0bbe47ee413b185f1410fe41f 58bd88693864b0375032d3507fe359e79d1ee179e51c5a7d1b2b8e17c8102a17 120f82c45c694fa7c22f1f2ed6ab0b08b8471d8f6d427af3282972a1a51744bd
SHA-256更高版本—完整的覆盖恶意软件
1e230466d1a01b1ff39494391d2d8abbd4cd0762cbfedc9576cfe576bc4cc347 634059e38477771fd8409ef2188a211a2f0d9a730fe1e50c0010c5785a2b2e3e 74a757389b24bcc100cc0407f1363301e63e54e93f53c5a52106db15fbd10316 001230e571bd73dfdc04d1f32f6b3e21cebb9eafea262edf1741c006c0fd5c61 9b18b0941932f68edfad08235226412a762965b651373ff3744514577bef2767 918a523725821000e0b882769a22d5c0f6d37cca1f5d437840e7372252a6b75e 95c25547034a532f8cada4220213e190d479d12d481ece3b160ee086cb9d26f1 d333fda60b5f62c61be6214e64fe79ee78c66bdd1f995736aeeb33cddc7494ea C7e3cc7e5fc9a82f02939769b986f5c9ae3ed1b3a88fa24c2c26c7b1d042fb60
*参考来源: securityintelligence ,Sandra1432编译,转载请注明来自FreeBuf.COM
About The Author
