欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

银行业木马黑产报告

来源:本站整理 作者:暗影安全实验室 时间:2017-08-29 TAG: 我要投稿

1. 背景
随着智能手机和各种数码终端的普及,移动支付已经融入到了人们的生活中,各种扫码支付、银行转账在手机上都能很简单完成。人们出行基本只需带上手机,就能在超市、美食店等消费场所进行消费,目前已步入到零现金支付时代。在移动支付给生活带来巨大便利的同时,移动支付安全也成为目前最热门的话题。
由于利益驱使,各类热门银行app早已被黑客作为攻击目标,从2014年劫持银行到目前通过so保护自身来劫持国内银行,其防止被反编译技术水平一直在提高。同时伴随着网络上出现的各种仿冒应用,使得用户对银行app真假难辨,为了保证用户自身财产安全,下载银行app应该从银行官方站点或正规站点获取。
2. 银行类木马概述
目前已知的银行类木马主要分为两大类:一类是仿冒应用,另一类是劫持类木马。
仿冒银行应用:主要通过伪装成为热门银行app进行获取用户银行账号信息,对用户的财产安全带来巨大危害、或者伪装成为嵌入广告的银行app来赚取广告费用,会对用户造成流量消耗,给用户带来一定损失。
劫持银行类木马:主要是通过Activity劫持某个或某些银行特定窗口,并启动自己伪装的银行界面覆盖原窗口界面,当用户输入个人账户信息时,则会被黑客获取到,给用户的财产造成损失。
3. 银行劫持类木马
3.1. 劫持技术简介
目前已知的app劫持技术主要可以分为Activity劫持、安装劫持、函数执行劫持等,下面对上述劫持技术介绍如下:
 Activity劫持是指当启动某个特定窗口组件时,被木马探知,若该特定窗口界面是木马预设的攻击对象,木马将启动自己伪装的界面覆盖原特定窗口界面,在用户毫无察觉的情况下收集用户的个人隐私信息,并把数据回传给服务端。
 安装劫持是指劫持木马通过监听android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED 并实施intent攻击,主要攻击手段是卸载删除掉真正安装的apk,并替换为攻击者伪造的应用。通过伪装的应用来收集用户的个人隐私信息,并把数据回传到服务端。
 函数执行劫持是劫持木马通过hook特定函数进行修改此函数功能,来实现对修改原app的返回数据等信息,通过劫持函数执行流程或结果来达到劫持木马攻击目的。
目前,对于热门银行类的劫持木马大多数采用Activity劫持,实施简单,效率高,所造成的危害巨大。
对目前已有木马库,其Activity劫持技术发展历史如图3-1所示:

 图3-1 Activity劫持技术发展历史
3.2. 银行劫持木马的发展演变
通过对已有的银行劫持木马进行分类整合,发现其从最初期的劫持银行APP是通过伪装其对应银行界面来直接获取银行账户相关信息,到目前的so解密后在进行Activity劫持来实现钓鱼,在技术方面已经有了巨大的提升,具体演变历史以及相关木马如图3-2、表3-1所示:

 图3-2 银行劫持类木马历史演变
发现时间
木马名称
木马描述
2014年8月
A.Privacy.fakechinaworld.a
该木马启动后隐藏图标,伪造建行界面,窃取用户(建行卡号、密码),信用卡申请信息(姓名、职业、月收入、身份证号、手机号码、申请额度),在用户不知情的情况下,通过频繁发送短信和联网的方式上传远程控制端,同时木马会屏蔽用户短信,转发短信,给用户手机造成严重危害。
2014年10月
A.Privacy.googleApp.a
该应用是一款伪装成“google appstore”的木马,木马的主要行为是开机启动,卸载安全软件,在用户未授权的情况下,私自获取用户手机号码、收件箱短信、通讯录联系人信息、用户手机银行账户信息、用户手机银行证书等信息,并联网发送到指定邮箱和指定远程服务器;私自向用户通信录的联系人发送短信,私自拦截用户手机短信接收,解析短信内容执行指定操作,例如:更换服务器地址和邮箱账号,屏蔽短信等操作,私自拦截用户来电,屏蔽指定号码来电。
2015年10月
A.Payment.googla.ca
该程序是一款嵌入木马的应用程序,嵌入程序的木马的主要行为是在用户不知情的情况下发送指定短信到指定的号码,并进行自动回复,疑似恶意扣费行为;私自后台获取用户手机号码、用户通讯录联系人、用户手机银行账户信息、用户手机银行证书等信息,联网上传至指定URL,构成隐私窃取行为;私自联网获取数据,并通过短信发送给用户手机联系人,具有恶意传播属性;拦截用户短信接收,屏蔽指定短信,构成系统破坏。
2016年3月
A.Privacy.googleservice.a
该程序是一款银行劫持类木马。该木马的主要在用户未知情的情况下私自上传用户隐私信息、银行账户信息到指定服务器,具有隐私窃取属性;木马在未经用户允许的情况下私自发送短信,具有资费消耗属性;木马在用户不知情的情况下私自拦截用户短信,具有系统破坏属性;木马在用户不知情的情况下有道用户激活设备管理器并私自隐藏启动图标以达到不能正常卸载,造成流氓行为属性。
2017年6月
A.Privacy.cnbank.a
该程序是一款劫持银行类的木马。该木马主要是在用户未知情的情况下私自上传用户隐私信息、银行账户信息到指定服务器,具有隐私窃取属性;在用户未授权的情况下,私自拦截用户接收短信,根据短信内容执行拦截短信,发送短信等指定操作,具有远程控制属性;木马在用户不知情的情况下私自删除短信,具有系统破坏属性;运行之后会诱导用户获取设备管理权限,具有诱骗欺诈属性。
表3-1 银行劫持类木马历史演变
3.3. 银行app劫持木马分析
目前在已有木马库中通过对银行类劫持木马的整合,随着不同时期的发展,Activity劫持类银行木马从未作任何防防止反编译到现在通过类似加固(so加密保护)来保护自身防止被反编译分析;通过so库来躲避杀毒软件的查杀,是以前银行劫持类木马的升级版本。目前劫持类的技术一直在升级,对抗也越来越强烈。

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载