摘要:經(jīng)錢盾反詐實驗室研究發(fā)現(xiàn),該批惡意應(yīng)用屬于新型��?����?尚艖?yīng)用商店繞過殺毒引擎���,這樣病毒自然能輕松入侵用戶手機�����。安全建議建議用戶安裝錢盾等手機安全軟件,定期進(jìn)行病毒掃描����。
背景
近期�,一批偽裝成flashlight���、vides和game的應(yīng)用����,發(fā)布在google play官方應(yīng)用商店。經(jīng)錢盾反詐實驗室研究發(fā)現(xiàn)�����,該批惡意應(yīng)用屬于新型BankBot���。Bankbot家族算得上是銀行劫持類病毒鼻祖�����,在今年年初曾爆發(fā),之前主要針對歐洲國家����,可劫持50多家銀行應(yīng)用���,而新發(fā)酵的BankBot已將攻擊目標(biāo)擴散到全球��,可劫持銀行增加到145家。
那么新型BankBot是怎么再次入侵用戶手機����?
能上架應(yīng)用商店和入侵用戶手機��,BankBot使用了AVPass技術(shù),包括針對靜態(tài)分析和動態(tài)沙盒的逃逸����,這樣成功繞過大多數(shù)殺毒引擎�����。可信應(yīng)用商店+繞過殺毒引擎����,這樣病毒自然能輕松入侵用戶手機。本文接下來的內(nèi)容將解析BankBot是如何規(guī)避殺毒引擎,病毒劫持釣魚過程可參考《警惕一大波銀行類木馬正在靠近����,新型BankBot木馬解析》�。
AVPass分析
1、使用成熟的AVPass技術(shù)�����,可繞過反病毒檢測系統(tǒng)
病毒AvPass工作流程圖如下:
Binary Obfuscation
混淆自身特征�,包括類名、函數(shù)名��、字符串加密����、反射調(diào)用,并將待劫持應(yīng)用包名sha1編碼���,隨后使用加固技術(shù),將惡意dex打包加密��。處理后的app如下圖:
2�����、對抗動態(tài)沙盒
通過自檢測運行環(huán)境和增加用戶行為交互對抗沙盒��,新型BankBot只有同時滿足以下4條才會觸發(fā)惡意行為:
運行在Android5.0以及以上設(shè)備
運行設(shè)備非俄羅斯、巴西、烏克蘭用戶
檢測運行環(huán)境���,若非真機環(huán)境將不會觸發(fā)惡意行為
用戶行為交互,點擊按鈕
下圖運行設(shè)備檢測
3、FCM遠(yuǎn)控,獲取短信驗證碼
目前,各大銀行實施雙因素認(rèn)證即在支付過程中進(jìn)行身份認(rèn)證和基于手機動態(tài)密碼的驗證。BankBot在通過釣魚拿到用戶銀行身份信息后����,還差動態(tài)短信�,之前BankBot直接使用短信劫持��,但這樣殺軟可通過靜態(tài)或動態(tài)檢測出惡意行為。新型BankBot通過集成谷歌提供的Firebase Cloud Messaging(簡稱FCM)框架,利用FCM向指定設(shè)備發(fā)送指令數(shù)據(jù)�����,從而獲取受害者短信驗證碼��,也就是控制端在成功釣魚后���,通過FCM下發(fā)獲取短信的指令����,病毒讀取最新短信�����,通過網(wǎng)絡(luò)上傳至控制端��。下圖整個攻擊流程。
FCM下發(fā)的指令數(shù)據(jù)還包括:更新C&C地址���、彈偽造的通知欄、界面劫持?jǐn)?shù)據(jù)��,其中彈偽造的通知欄和界面劫持都是BankBot的釣魚手段����。下圖下發(fā)的指令數(shù)據(jù)。
攻擊者一旦成功截獲受害者銀行賬號�、密碼和短信動態(tài)驗證碼����,將繞過銀行雙因素認(rèn)證���,這樣受害者們不僅僅構(gòu)造成了一個可以被攻擊者控制的移動僵尸網(wǎng)絡(luò)���,更成了攻擊者的天然提款機�����。
安全建議
1、建議用戶安裝錢盾等手機安全軟件��,定期進(jìn)行病毒掃描�����。
2�、切勿點擊任何陌生鏈接,尤其是短信���、QQ、微信等聊天工具中不熟識的“朋友”發(fā)來的鏈接��。
作者:錢盾反詐實驗室���,更多安全類熱點信息和知識分享�,請關(guān)注阿里聚安全的官方博客
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11266.html
