欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对借助Google Play传播的复杂银行木马家族的分析

来源:本站整理 作者:佚名 时间:2017-06-06 TAG: 我要投稿

一、前言
2015至2016年期间,针对Android平台的银行木马所使用的传播渠道很少涉及Google Play商店,它们使用的传播渠道包括短信、钓鱼邮件以及流氓网站,通常会借助Adobe Flash Player来释放恶意APK文件。
借助Google Play传播的银行类恶意软件的侧重点与我们之前分析过的其他恶意软件有所不同。通常情况下,Android银行类恶意软件会使用高评分的应用名以及应用图标(类似“超级玛丽跑跑跑”、“Flash Player”或者“WhatsApp”)进行传播,以达到说服、诱骗用户安装应用的目的。然而Google Play上恶意软件的方法有所不同:它们所做的一切都是为了获取用户的信任。它们甚至会构造一个虚假的Facebook账户,伪装成一个真实的公司,以提高攻击过程的成功率。安装完毕后,恶意应用并没有立刻露出庐山真面目,而是等待若干分钟后才开展恶意互动,以便用户能够先使用这些应用来观看有趣的视频或者收看热点新闻。
了解了这两类恶意软件在操作方式上最大的不同后,我们不禁想问一个问题:Google Play上的银行木马究竟是如何运作的?
二、2017年1月-3月
在2017年1月,我们负责Android平台上银行类恶意软件态势收集及应急响应的团队(@SfyLabs)发现有大批应用正在测试通过Google Play传播Android银行木马的新方法。彼时,我们并没有对Google Play上的这类银行木马的规模有清晰的了解,我们的兴趣点在于这类木马使用了新的攻击技术。这类木马使用这种新型的攻击技术,通过恶意软件下载器传播经过修改的银行木马。
我们首先注意到的一点就是这类木马请求的权限比较少。通常情况下,Android银行木马会向用户请求许多权限,比如短信读取权限、短信发送权限、悬浮窗口以及设备管理员权限等。然而,这版本的银行木马只请求很少的权限,如下所示:

反病毒软件以及Google Bouncer通常会将Android权限作为一个重要的参考标准。这种使用较低权限下载器的新型攻击技术看起来效果不错,因为大多数下载器都可以被成功上传到Google Play应用商店中,并且能够长时间躲避反病毒厂商的扫描探测。事实上,当时VirusTotal的扫描结果为0/61(即安全文件)。请参考完整的报告了解更多信息。

除了使用新型的攻击技术,我们还注意到攻击者创建了一个Facebook页面,引诱用户从Google Play商店中下载名为“Real Funny Videos”的银行木马下载器。

2.1 下载器的技术分析
银行木马下载器请求的权限数非常少,因为下载器的主要目的是诱导用户启用“未知源”应用安装选项,从命令与控制(Command & Control,C2)服务器上下载真正的木马应用到存储卡中,然后再安装真正的木马。真正的木马会请求更多的权限,以便拥有短信转发及窗口覆盖功能。根据用户的具体操作,下载器可能的工作路径如下所示:

2.2 对禁用未知源选项用户的社工方法(install_non_market_apps)


2.3 从SD卡中安装真正的银行木马,并向用户呈现安装界面

2.4 已分析的下载器样本
我们已对如下样本进行了分析,访问此处以获取更多信息。

2.5 下载器所使用的C2服务器
所涉及的C2服务器地址如下:
hxxp://antishop.co.uk (add.php chins.php live.php)
hxxp://donabak.co.uk
hxxp://amitvyservice.co.uk/
hxxp://ekboshop.co.uk
hxxp://typeclothes.co.uk
hxxp://gelstore.co.uk
185.153.198.52
212.38.166.48 (主要地址,托管注册了166个co.uk网站)
银行木马下载器所使用的某个域名为antishop.co.uk,其IP地址与另一个(正在活跃)的Google Play恶意软件族群有关(185.153.198.52以及77.72.82.120),该恶意软件族群使用了新的攻击手法。

三、2017年3月份正在活跃的银行木马
Google Play上第二个银行木马族群使用了具备较高权限的Android应用,这一点与其他Android银行类恶意软件家族类似(都具备短信、设备管理员以及窗口覆盖权限)。值得注意的是,这个木马族群在应用混淆处理上有所改进,这意味着这类应用的作者比其他组织对恶意软件的技术理解更深,花了一些时间和精力来购买并集成DexProtector。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载