瞄準“兩牙”:新型銀行木馬攻擊葡萄牙和西班牙語用戶 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2020-05-21 瀏覽次數(shù): |
信息來源:Freebuf
近期,研究人員分析了一種新的Android銀行木馬,該木馬似乎針對說西班牙語或葡萄牙語的國家(即西班牙、葡萄牙、巴西和拉丁美洲等地區(qū))。該木馬程序基于現(xiàn)有簡單程序SMSstealer.BR建立,但是添加了更復雜的功能。這類惡意軟件其中部分被稱為“Banker.BR”。 目前,惡意軟件正通過短信傳播,這些短信將用戶引導到攻擊者控制的惡意域。這些信息通知用戶下載移動銀行需要用到的虛假安全應用的最新版本。一旦用戶單擊下載,那么就會從合法文件共享平臺開始下載。 鑒于這個虛假應用是從第三方來源下載的,因此默認情況下不會在Android設(shè)備上授權(quán)執(zhí)行操作,接下來就給用戶提供指導,如何通過設(shè)備的“設(shè)置”菜單啟用側(cè)面加載。 圖1:新的銀行惡意軟件要求用戶啟用側(cè)面加載 在當前狀態(tài)下,這種新型惡意軟件可以通過覆蓋攻擊啟用網(wǎng)絡釣魚,從而竊取用戶的網(wǎng)絡銀行憑據(jù),并接管用戶的銀行帳戶,還可以通過短信發(fā)送的驗證碼盜竊兩因素身份驗證(2FA)。種種方式都可以幫助攻擊者從受害者的銀行帳戶中完成欺詐性交易。 新型代碼庫根據(jù)研究人員分析,Banker.BR的代碼是全新的,并且不依賴于先前泄漏的代碼或現(xiàn)有的移動惡意軟件。盡管現(xiàn)在已經(jīng)發(fā)現(xiàn)了該木馬的早期版本,該木馬僅具有基本的SMS竊取程序,本文著重介紹了新型的、更加復雜的“屏幕覆蓋攻擊”惡意軟件功能,這是Android銀行惡意軟件所共有的策略。 在最開始的時候,這種惡意軟件只能竊取SMS消息,使用該惡意軟件的攻擊者很可能從其他來源(例如網(wǎng)絡釣魚攻擊和地下憑據(jù)供應商)獲得了用戶憑據(jù)。隨著其不斷發(fā)展,它增加了覆蓋攻擊功能,在網(wǎng)絡釣魚階段就可以感染用戶設(shè)備。 盡管它具有和同類惡意軟件相同的功能,但它沒有實時從其C&C服務器中提取重疊圖像的功能,因為這要求在設(shè)備自身的資源中調(diào)用嵌入式屏幕,所有它會比其他使用這類方法的惡意軟件來得遲鈍。 雖然大多數(shù)應用都是使用Java / Kotlin編程語言實現(xiàn)的,而Java / Kotlin編程語言是Android Studio開發(fā)基礎(chǔ)平臺的一部分,但Banker.BR的編程語言是B4X編程語言。B4X是Visual Basic的現(xiàn)代版本,它是用于創(chuàng)建Android和iOS操作系統(tǒng)的應用程序快速集成開發(fā)環(huán)境(IDE)套件的一部分。它通常不用于創(chuàng)建惡意軟件應用程序。 缺乏反研究功能研究人員還注意到尚且還不屬于惡意軟件整體部署的一些特征:
建立持久性使用可傳播的接收器能讓銀行木馬長期存在。接收器是一個Android組件,允許應用程序獲取有關(guān)系統(tǒng)和應用程序事件的通知。在這種情況下,惡意軟件應用程序?qū)弥狝CTION_BOOT_COMPLETED系統(tǒng)事件,一旦系統(tǒng)完成新的啟動過程,這些事件通知就會發(fā)送出去。 當收到系統(tǒng)通知時,惡意軟件會自行運行,而無需用戶干預。 惡意許可授予Banker.BR往往會濫用無障礙服務,不詢問用戶或無需用戶參與就為自身授予所需權(quán)限。從編程手法上來說,要想實現(xiàn)這個目的,只要要求用戶允許或者拒絕運行權(quán)限即可,比如點擊屏幕上的“允許”按鈕。 該惡意軟件的執(zhí)行速度比人類快,因此不會給用戶提供任何機會做出反應或拒絕該惡意軟件接收其要求的權(quán)限。一旦允許初始操作,Banker.BR可以進一步為其自身授予其他權(quán)限。 圖2:自動批準權(quán)限 該惡意軟件尋求的權(quán)限包括:
圖3:Banker.BR權(quán)限列表 泄露設(shè)備信息和SMS內(nèi)容安裝后,惡意軟件會收集一些設(shè)備信息,并將其發(fā)送到攻擊者的C&C,后者是硬編碼到惡意軟件中的域地址。此信息包括以下內(nèi)容:
該惡意軟件處于活躍狀態(tài)時,還可以竊取和泄露SMS消息,抓取銀行或其他服務提供商發(fā)送給用戶的2FA代碼。該惡意軟件注冊了一個接收器,可以在運行時處理新接收到的SMS(SMS_RECEIVED),并且不再Manifest中顯示,這樣子用戶就看不到了。 圖4:Banker.BR SMS控件 “守株待兔”Banker.BR在設(shè)備后臺“按兵不動”,監(jiān)視用戶打開的應用程序“守株待兔”,等待目標應用程序的啟動。 設(shè)備上的輔助功能服務是Android惡意軟件應用程序監(jiān)視前臺運行APP的常見手段。惡意軟件等待匹配,在合適的時間和情境下啟動覆蓋屏幕來欺騙用戶,并將他們的憑證放到疊加層中。 圖5:惡意軟件正在等待有針對性的應用程序啟動 通過監(jiān)聽onaccessibilityevent和事件類型TYPE_WINDOW_STATE_CHANGED可以實現(xiàn),這將意味著用戶界面會發(fā)生變化。 接下來,惡意軟件調(diào)用_acs_onactivitynameretrieved函數(shù),該函數(shù)將驗證活動名稱是否與其目標匹配。如果檢測到匹配項,則該惡意軟件將在相應的覆蓋屏幕上調(diào)用與該銀行應用程序相匹配的界面。 圖6:銀行名稱模糊的針對Banker.BR的應用程序 覆蓋屏幕通常會顯示銀行的徽標,并要求用戶提供登錄憑據(jù)。 與此類中的其他惡意軟件不同,覆蓋屏幕被嵌入到惡意軟件中,而不是從攻擊者的C&C服務器中實時獲取的。這是一種不太靈活的方法,不允許對假屏幕進行即時更新,而需要進行惡意軟件更新才能交付更改。它還會將所有可用屏幕暴露給分析惡意軟件的外部人員。 圖7:示例疊加屏幕,要求用戶輸入其帳戶登錄憑據(jù) 攻擊對象目前,研究人員觀察到這種新型惡意軟件主要針對巴西的銀行。在某些情況下,攻擊目標也擴大到世界其他地區(qū),即西班牙、葡萄牙和整個拉丁美洲,這或許可以表明攻擊者的所處位置或來源。 通過更改目標列表和嵌入式屏幕,從而修改其攻擊范圍和潛在目標,可以非常輕松地將這種類型的惡意軟件重定向到其他區(qū)域。它可以定位到銀行,但也可以定位到設(shè)備上任何其他應用程序的用戶憑據(jù),或以Google Play商店請求為幌子竊取支付卡數(shù)據(jù)。 研究人員指出,Banker.BR正在不斷發(fā)展,將為新的目標銀行添加新屏幕樣式,并在未來幾個月內(nèi)有望增強代碼。 危害指標(IoC)早期版本的SHA-256-僅SMS竊聽器
SHA-256更高版本—完整的覆蓋惡意軟件
|