摘要:經(jīng)錢盾反詐實(shí)驗(yàn)室研究發(fā)現(xiàn)��,該批惡意應(yīng)用屬于新型��?����?尚艖?yīng)用商店繞過殺毒引擎�����,這樣病毒自然能輕松入侵用戶手機(jī)�。安全建議建議用戶安裝錢盾等手機(jī)安全軟件,定期進(jìn)行病毒掃描���。
背景
近期����,一批偽裝成flashlight�����、vides和game的應(yīng)用,發(fā)布在google play官方應(yīng)用商店�。經(jīng)錢盾反詐實(shí)驗(yàn)室研究發(fā)現(xiàn),該批惡意應(yīng)用屬于新型BankBot��。Bankbot家族算得上是銀行劫持類病毒鼻祖���,在今年年初曾爆發(fā),之前主要針對(duì)歐洲國(guó)家�����,可劫持50多家銀行應(yīng)用��,而新發(fā)酵的BankBot已將攻擊目標(biāo)擴(kuò)散到全球��,可劫持銀行增加到145家�。
那么新型BankBot是怎么再次入侵用戶手機(jī)?
能上架應(yīng)用商店和入侵用戶手機(jī)�,BankBot使用了AVPass技術(shù),包括針對(duì)靜態(tài)分析和動(dòng)態(tài)沙盒的逃逸�����,這樣成功繞過大多數(shù)殺毒引擎?����?尚艖?yīng)用商店+繞過殺毒引擎�,這樣病毒自然能輕松入侵用戶手機(jī)。本文接下來的內(nèi)容將解析BankBot是如何規(guī)避殺毒引擎�,病毒劫持釣魚過程可參考《警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析》�。
AVPass分析
1、使用成熟的AVPass技術(shù)��,可繞過反病毒檢測(cè)系統(tǒng)
病毒AvPass工作流程圖如下:
Binary Obfuscation
混淆自身特征���,包括類名����、函數(shù)名��、字符串加密���、反射調(diào)用��,并將待劫持應(yīng)用包名sha1編碼��,隨后使用加固技術(shù)�,將惡意dex打包加密。處理后的app如下圖:
2�����、對(duì)抗動(dòng)態(tài)沙盒
通過自檢測(cè)運(yùn)行環(huán)境和增加用戶行為交互對(duì)抗沙盒���,新型BankBot只有同時(shí)滿足以下4條才會(huì)觸發(fā)惡意行為:
運(yùn)行在Android5.0以及以上設(shè)備
運(yùn)行設(shè)備非俄羅斯�����、巴西、烏克蘭用戶
檢測(cè)運(yùn)行環(huán)境��,若非真機(jī)環(huán)境將不會(huì)觸發(fā)惡意行為
用戶行為交互����,點(diǎn)擊按鈕
下圖運(yùn)行設(shè)備檢測(cè)
3、FCM遠(yuǎn)控�,獲取短信驗(yàn)證碼
目前,各大銀行實(shí)施雙因素認(rèn)證即在支付過程中進(jìn)行身份認(rèn)證和基于手機(jī)動(dòng)態(tài)密碼的驗(yàn)證�。BankBot在通過釣魚拿到用戶銀行身份信息后,還差動(dòng)態(tài)短信����,之前BankBot直接使用短信劫持��,但這樣殺軟可通過靜態(tài)或動(dòng)態(tài)檢測(cè)出惡意行為�。新型BankBot通過集成谷歌提供的Firebase Cloud Messaging(簡(jiǎn)稱FCM)框架�,利用FCM向指定設(shè)備發(fā)送指令數(shù)據(jù),從而獲取受害者短信驗(yàn)證碼��,也就是控制端在成功釣魚后����,通過FCM下發(fā)獲取短信的指令,病毒讀取最新短信��,通過網(wǎng)絡(luò)上傳至控制端���。下圖整個(gè)攻擊流程�。
FCM下發(fā)的指令數(shù)據(jù)還包括:更新C&C地址��、彈偽造的通知欄�����、界面劫持?jǐn)?shù)據(jù)����,其中彈偽造的通知欄和界面劫持都是BankBot的釣魚手段�。下圖下發(fā)的指令數(shù)據(jù)��。
攻擊者一旦成功截獲受害者銀行賬號(hào)�、密碼和短信動(dòng)態(tài)驗(yàn)證碼,將繞過銀行雙因素認(rèn)證��,這樣受害者們不僅僅構(gòu)造成了一個(gè)可以被攻擊者控制的移動(dòng)僵尸網(wǎng)絡(luò)���,更成了攻擊者的天然提款機(jī)�。
安全建議
1�、建議用戶安裝錢盾等手機(jī)安全軟件,定期進(jìn)行病毒掃描����。
2��、切勿點(diǎn)擊任何陌生鏈接��,尤其是短信�����、QQ、微信等聊天工具中不熟識(shí)的“朋友”發(fā)來的鏈接��。
作者:錢盾反詐實(shí)驗(yàn)室�����,更多安全類熱點(diǎn)信息和知識(shí)分享�����,請(qǐng)關(guān)注阿里聚安全的官方博客
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11266.html
