安基網 首頁 資訊 安全報 查看內容

針對銀行用戶的新型間諜軟件來襲

2020-5-2 02:01| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 背景:近些年,地下黑產組織針對全世界各國大型銀行進行持續性的APT攻擊,尤其是針對韓國、西班牙、葡萄牙等大型銀行,采用仿冒、間諜軟件、釣魚劫持、勒索等技術手段,竊取用戶個人信息,非法入侵用戶的互聯網賬戶系統。近期,恒安嘉新暗影安全實驗室在日常監測中,發現一批針對韓國銀行用戶的新型間 ...



背景:近些年,地下黑產組織針對全世界各國大型銀行進行持續性的APT攻擊,尤其是針對韓國、西班牙、葡萄牙等大型銀行,采用仿冒、間諜軟件、釣魚劫持、勒索等技術手段,竊取用戶個人信息,非法入侵用戶的互聯網賬戶系統。近期,恒安嘉新暗影安全實驗室在日常監測中,發現一批針對韓國銀行用戶的新型間諜軟件。這批木馬樣本仿冒成“智能快遞”、“羅森快遞”、“CJ韓國快遞”、“現代快遞”、“交貨查詢”、“韓進快遞”、“SJEMS”等12種知名快遞公司名稱,采用加固代碼隱藏,免殺,任意更換遠程控制地址、任意替換新型木馬等手段,配置非常靈活,根據C&C端下發的指令進行遠程控制,竊取用戶手機號碼、通信錄、通話錄音、短信等個人隱私信息,最終盜取用戶互聯網賬戶的資金,其中,“智能快遞”間諜木馬的安裝圖標如圖1所示。

圖1 “”(智能快遞)圖標1.基本信息樣本名稱:(智能快遞)樣本MD5:d891a72721a8f2b31c5e0759afb0d4a9樣本包名:com.mix.kr簽名信息:CN=AndroidDebug,O=Android,C=US2.運行原理該程序是一款通過仿冒成“”(智能快遞)名稱的間諜木馬軟件,開機時自啟動,隱藏安裝圖標,激活設備管理器,屏蔽攔截短信、屏蔽掛斷指定電話、上傳通話錄音文件、刪除通話記錄,上傳用戶手機號和固件信息到指定服務器,根據C&C服務端下發的指令執行遠程控制行為:

  1. 設置配置文件信息
  2. 上傳通信錄列表
  3. 上傳應用列表
  4. 上傳短信列表
  5. 發送任意短信
  6. 更新間諜軟件程序
  7. 更新服務器地址

木馬運行流程示意圖:

圖2 木馬運行流程示意圖3.代碼分析新型間諜木馬采用偽加固將其核心代碼隱藏,避開殺軟檢測,同時,通過C&C服務端任意更新間諜木馬變種版本,任意更新服務器地址,主要分為基礎功能和遠控功能兩大部分,所謂基礎功能就是樣本自身所具有的惡意行為,遠控功能就是與C&C服務端交互的惡意行為。

圖3 代碼框架通過C&C服務端任意更新間諜木馬變種版本,任意更新服務器地址后續說明。(1)基礎功能開機時自啟動,隱藏安裝圖標,激活設備管理器,屏蔽攔截短信、屏蔽掛斷指定電話、上傳通話錄音文件、刪除通話記錄。隱藏安裝圖標:

圖4 隱藏安裝圖標激活設備管理器:

圖5 激活設備管理器屏蔽攔截短信:

圖6 屏蔽攔截短信屏蔽掛斷指定電話:

圖7 屏蔽掛斷指定電話刪除通話記錄:


圖8 刪除指定通話記錄后臺開啟服務將通話錄音發送到指定郵箱:


圖9 將通話錄音發送到指定郵箱(2)遠控功能上傳手機號、固件信息,并請求遠控指令,根據C&C服務端下發的指令執行遠程控制行為。上傳手機號、固件信息,并請求遠控指令:

圖10 獲取手機號

圖11 請求遠控指令根據C&C服務端下發的指令執行遠程控制行為:C&C服務端指令指令詳解http://113.***.137.171 /kbs.phpsendsms發送任意短信http://113.***.137.171 /kbs.phpissms設置短信相關配置文件http://113.***.137.171 /kbs.phpiscall設置電話相關配置文件http://113.***.137.171 /kbs.phpcontact上傳通訊錄聯系人http://113.***.137.171 /kbs.phpapps上傳應用程序列表http://113.***.137.171 /kbs.phpchangeapp更新木馬http://113.***.137.171 /kbs.phpmove更新服務器地址接收到指令“sendsms”,發送任意短信:

圖12 發送短信并反饋接收到指令“issms/iscall”,設置短信/電話相關的配置參數:

圖13 設置短信/電話相關的配置參數接收到指令“contact”,上傳通訊錄聯系人:

圖14 上傳通訊錄聯系人接收到指令“apps”,上傳應用程序列表:


圖15 上傳應用程序列表接收到指令“changeapp”,卸載并更新木馬版本(指定的仿冒銀行木馬):

圖16 卸載并更新木馬版本涉及韓國的NH智能銀行、新韓銀行、韓亞銀行、友利銀行、KB國民銀行等5家銀行,針對性非常強。

圖17目標銀行列表接收到指令“move”,更新C&C服務器地址:

圖18 更新C&C服務器地址4.溯源分析從上文技術分析我們得到了C&C服務器地址,遠控郵箱賬戶。(1)溯源IP地址從這批木馬C&C服務器所在位置的角度,我們發現8個不同IP地址(IP地址去重),其中,中國香港占4個,日本占3個,美國占1個。樣本MD5服務器地址IP地理位置DD0ACE0363BA60A96753ED21D4DDEB07http://103.***.237.30/kbs.php中國香港C72F2B6DC3D8F3BBF506E7CB7F35B79Fhttp://113.***.136.143/kbs.php中國香港F36AA75CFE9EEC1D8E755C34AC50AC45http://113.***.137.171/kbs.php中國香港3C326883FEB95ABB049A010EFD738A83http://113.***.137.236/kbs.php中國香港3DA715A5191065D596AEE0AEDF27C7EBhttp://60.***.97.36/kbs.php日本東京都5A678A32CA866F13FF99A0ECB1FBC457http://122.***.100.128/kbs.php日本兵庫縣97966D65B2976B06CCE09E6C4299A713http://126.***.162.113/kbs.php日本東京都DDCB9D034A01B014173BA80DC1ACB5BDhttp://45.***.80.109/kbs.php美國加利福尼亞州洛杉磯其中,103.251.237.30地址反查,我們發現其曾經綁定過的58個域名(二級域名去重),經常用于僵尸網絡和垃圾郵件。IP地址曾經綁定過的部分域名列表如下:序號域名1111***.cnwww.111***.cn2ahz***.cnwww.ahz***.cn3ait***lyzers.cnmail.ait***lyzers.cn4www.aita***yzers.cnch***col.cn5www.ch***col.cnait***lyzers.com.cn6www.ait***zers.com.cnwww.anv***larm.com.cn7bj***f.com.cnwww.bj***f.com.cn8delta-t***ik.com.cnwww.delta-te***ik.com.cn9j***x.com.cnwww.j***x.com.cn10www.t***ts.com.cnwon***models.com.cn(2)溯源郵箱從接收/發送郵件賬戶的角度,發送郵件和接收郵件的郵箱賬戶是同一個:qq18***[email protected],密碼是rk***014。郵箱中還包含大量PC端木馬程序,DNS配置SP,DNS批量域名生成器,跳轉劫持代碼等,說明該郵箱常用來接收其他木馬文件:


圖19 郵箱內有大量惡意軟件(3)樣本擴展在恒安嘉新 App全景態勢與案件情報溯源挖掘平臺上,通過應用名稱、包名等特征關聯搜索相關樣本,發現平臺上存在大量新型間諜木馬類惡意應用,其中,該類惡意程序代碼結構、包名及其類似,極有可能是同一批人開發。


5.總結新型間諜木馬具有代碼結構相似,變種快的特點,竊取用戶手機號碼、通信錄、通話錄音、短信等個人隱私信息,最終盜取用戶互聯網賬戶的資金,危害極大,同時可能是某地下灰黑產組織針對韓國銀行持續性攻擊,不輕易相信陌生人,不輕易點擊陌生人發送的鏈接,不輕易下載不安全應用。

  1. 安全從自身做起,建議用戶在下載軟件時,到針對的應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害;
  2. 很多用戶受騙正是因為釣魚短信的發件人顯示為10086、95588等正常號碼而放松安全警惕導致中招,運營商需要加強對偽基站的監控打擊力度,減少遭受偽基站干擾的幾率;
  3. 各大銀行、各支付平臺需要加強對各自支付轉賬渠道的監管,完善對用戶資金轉移等敏感操作的風控機制,防止被不法分子利用竊取用戶網銀財產;
  4. 警惕各種借貸軟件的套路,不要輕易使用借貸類App。

原文鏈接:https://www.anquanke.com/post/id/204118



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6821400785327227396/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 新疆时时彩彩开奖 排列五走势图综合版 如何炒股才能赚钱,炒股买卖八大实战方法 精准二十码 股票xd 安徽快三是国家彩票吗 股票入门推荐 快乐双彩规则 排三和值尾走势图表 广东十一选五任1计划