欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

不会使用最新技术的银行金融病毒木马不是好程式,金融木马病毒软件Red Alert 2

来源:本站整理 作者:佚名 时间:2017-09-28 TAG: 我要投稿

从上一周的开端,安卓Android银行木马程式Red Alert 2受到了相称多的存眷。激发广大吃瓜大众围观的缘故原由可以或许人人曾经晓得了,这个木马程式的代码库看起来是全新的,并且木马的部分功效也很奇特。PhishLabs谍报阐发研究部分(R.A.I.D)近来发觉了一个Red Alert 2的新样本,这个样本与曩昔的样本比拟,在战略、技巧和程式上都有停止改动。那末咱们在对这些变更阐发以前,先对Red Alert 2的一些风趣的功效停止回想。
旧物换新颜
Red Alert 2与现有Android银行木马在功效上有许多共同点。Red Alert 2在后盾运转,监督应用程式的运动,当检测到目的相干的运动时,会在装备屏幕上笼罩垂纶页面。除以外,它还会盗取体系信息,盗取用户数据,包括联系人、短信、通话记载、窃听或拦阻短信/通话,发送短信和USSD哀求,和启动其余应用程式。

图1 指令表
Red Alert 2的奇特的地方在于,与许多现有的Android银行木马分歧,Red Alert 2彷佛并非像BankBot或AceCard同样,是源代码泄漏的银行木马的变体,它是全新的。除此以外,它在义务上也与其余的Android木马分歧:肯定前台应用,更新C&C办事器,获得设置装备摆设数据。
1、肯定正在运转的应用
 Android银行木马最重要的义务之一便是肯定以后在前台运转的应用程式是什么。这个很症结的义务可以或许赞助银行木马抉择基于包名的适合的笼罩层。从一些过去的申报可以或许看到,银行木马应用过ActivityManager类的getrunningtasks或getrecenttasks办法来肯定运转中的应用程式。然则,从Android Lollipop(API Level 21)开端,这些办法已被弃用。以是,这类技巧对付Android 5.0和更高版本的装备不适用。为了办理这一成绩,Red Alert 2的作者应用了Android Toolbox(一组Linux敕令行程式),以肯定以后正在运转的应用程式。图2中的正文表现了用于肯定以后运转的应用程式的节制流,图3表现了应用Android Toolbox的代码片断。

图2 肯定正在运转的应用

图3 Android Toolbox挪用
值得注意的是,对付API Level 20,Android Wear装备独有的KitKat 4.4W,Red Alert 2要应用UsageStatsManager来肯定以后运转的应用程式。 这也就能够或许说明为何这款木马必要PACKAGE_USAGE_STATS权限。 方然,这也是很有意思的了,木马开辟职员竟然为这些Android Wear装备做了特定的调剂。

图4 Android 4.4w usagestatsmanager办法
2、更新C&C办事器
长期以来,谈天客户端和交际媒体不停被用于桌面恶意病毒木马软件的敕令和节制,但这些技巧还没有普遍应用于挪动范畴。而Red Alert 2经由过程应用twitter来更新C&C办事器,将上述技巧移植到了挪动范畴。在刚开端传输的过程当中,C&C办事器为在应用的resources中指定的样本办事,如下图5所示:

图5 应用Resources中的根基设置装备摆设数据
假如该C&C办事器脱机了,那末样本将盘算一个Twitter用户名并查问该帐户的帖子,以检索更新的C2。图6中所示代码片断的代码反省了该帐户的推文,并应用正则表达式来确认推文能否为一个IP地点,格局为4个字节,前两个和末了两个字节由一个空格分开。这类推文的内容可以或许是像“10.19 142.7”这类的。IP一旦确认后,这个IP地点将被从新构建,增加HTTP协定,增加端口8060,而后将其保存为样本的新的C&C办事器。

图6 Twitter C&C办事器更新代码
3、获得设置装备摆设数据
许多Android银行木马将其设置装备摆设信息硬编码到APK中,或许在装置实现后从C&C办事器下载设置装备摆设文件。为了防止成为网安研究职员的目的,Red Alert 2应用了“Go Fish”的办法传输设置装备摆设文件。一切设置装备摆设数据都存储在C&C办事器上,只要装备“证实”装备中曾经装置了目的应用,才会向受沾染的装备传输设置装备摆设文件。
装置后,Red Alert 2应用一个Bot ID来跟踪装备的沾染环境,并与C&C办事器通讯。而后,受沾染的装备将装备中装置的应用程式列表发送到C2。图7展示了一个受沾染的装备向C&C办事器发送POST哀求。这里base64编码的数据包括了一个已装置应用列表。C&C办事器在接收到已装置程式列表后,响应与已装置应用对应的目的应用的列表。并供应与已装置的目的应用对应的笼罩层HTML代码。该代码保存在装备存储中,当木马检测到目的应用程式在前台运转时才会表现。这个木马的完备设置装备摆设数据从未供应给受沾染的装备,这使得阐发异常艰巨。

图7 发送给C2办事器的已装置程式列表
连续成长态势
正如文章开首所提到的,PhishLabs R.A.I.D.团队近来察看到新的样本在战略、技巧和程式方面都有转变,这些手腕与最后版本Red Alert 2的阐发申报中的样本无关。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载