国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析

mengbo / 1030人閱讀

摘要:就在近期,阿里聚安全檢測到大量新型家族木馬,木馬偽裝成等應用,可劫持全球至少家大型銀行手機用戶。如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟件,對手機上的應用進行檢測,防止高風險惡意應用的安裝。

背景

來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等應用,可劫持全球至少50家大型銀行手機用戶。

特點:新型BankBot木馬配置靈活,執行開關受服務端控制;根據C&C端下發的指令進行遠程控制;竊取用戶隱私,對全球多家金融類app劫持,釣魚登錄界面,進而截獲、捕捉用戶輸入數據,最終非法入侵用戶互聯網賬戶系統。

木馬運行流程如下:

是否觸發惡意代碼

BankBot木馬啟動后會請求C&C端,判斷是否執行惡意代碼,若服務端返回非“0”則執行惡意代碼。

該木馬直接隱藏圖標,并啟動核心服務ge45g45gsdfsadfg,該服務使用CUP喚醒鎖可常駐后臺。

核心服務

控制電源狀態為PARTIAL_WAKE_LOCK模式和使用CPU時鐘鎖,使核心服務常駐后臺。惡意行為如下:

強制激活設備管理;

上傳當前木馬運行環境,包括:設備基本信息、是否管理激活、是否存在鎖屏密碼、是否短信攔截,用戶安裝的銀行類app名;

服務端下發指令實施遠程控制;

啟動劫持服務

下圖上傳木馬運行環境

↑ 上傳設備狀態

↑ 上傳已安裝銀行app

上傳數據由自身加密算法編碼,解密結果:3592500503912**:1:1:0、3592500503912**:(中國聯通)+86186670157**:4.4.2|AlfaB_RU|
|paypal||UBank|:Nexus 5 (hammerhead):Demom.上傳數據告訴控制端當前設備ID、木馬已拿到管理激活、設備存在鎖屏密碼、還未配置短信攔截、用戶已安裝AlfaB、paypal、UBank銀行app。

隨后C&C端返回控制指令,指令解析如下。

劫持分析

當受害人打開合法銀行app時,該木馬監控到此行為,加載偽裝的銀行頁面 ,并覆蓋真實銀行app界面。對于界面劫持攻擊,最重要的一步就是誘騙受害者進入他們偽造的登錄界面,因此,假冒的銀行登錄窗口得與原生窗口非常相似,讓用戶很難區分真偽。

另外的一些釣魚界面。

受害者的設備ID是與木馬控制端交互的標示號,并根據受害人設備上的銀行app在控制端準備偽造的登錄界面。全世界各大金融app都無幸免,包括知名的Paypal、American Express、英國巴克萊銀行、蘇格蘭皇家銀行等:

at.bawag.mbanking
at.easybank.mbanking
at.spardat.netbanking
at.volksbank.volksbankmobile
com.rbs.mobile.android.rbs
com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile
au.com.ingdirect.android
au.com.nab.mobile
com.commbank.netbank
org.banksa.bank
org.stgeorge.bank
org.westpac.bank

com.db.mm.deutschebank
com.barclays.android.barclaysmobilebanking
com.starfinanz.mobile.android.dkbpushtan
com.starfinanz.smob.android.sbanking
com.starfinanz.smob.android.sfinanzstatus
de.adesso.mobile.android.gad
de.comdirect.android
de.commerzbanking.mobil
de.consorsbank
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.ing_diba.kontostand
de.postbank.finanzassistent
mobile.santander.de

com.IngDirectAndroid
com.arkea.android.application.cmb
com.arkea.android.application.cmso2
com.boursorama.android.clients
com.cacf.MonCACF
com.caisseepargne.android.mobilebanking
com.cic_prod.bad
com.cm_prod.bad
com.fullsix.android.labanquepostale.accountaccess
com.groupama.toujoursla
com.lbp.peps
com.macif.mobile.application.android
com.ocito.cdn.activity.creditdunord
fr.axa.monaxa
fr.banquepopulaire.cyberplus
fr.banquepopulaire.cyberplus.pro
fr.creditagricole.androidapp
fr.lcl.android.customerarea
fr.lemonway.groupama
mobi.societegenerale.mobile.lappli
net.bnpparibas.mescomptes

com.comarch.mobile
com.getingroup.mobilebanking
com.konylabs.cbplpat
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.raiffeisen
pl.bzwbk.bzwbk24
pl.bzwbk.mobile.tab.bzwbk24
pl.eurobank
pl.ing.ingmobile
pl.mbank
pl.pkobp.iko
wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.pozitron.iscep
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil

ca.bnc.android
com.americanexpress.android.acctsvcs.us
com.chase.sig.android
com.cibc.android.mobi
com.citi.citimobile
com.clairmail.fth
com.coinbase.android
com.creditkarma.mobile
com.discoverfinancial.mobile
com.fi9228.godough
com.firstpremier.mypremiercreditcard
com.infonow.bofa
com.jpm.sig.android
com.moneybookers.skrillpayments
com.paybybank.westernunion
com.paypal.android.p2pmobile
com.pnc.ecommerce.mobile
com.suntrust.mobilebanking
com.tdbank
com.td
com.transferwise.android
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usb.cps.axol.usbc
com.wf.wellsfargomobile
me.doubledutch.rbccapitalmarkets

↑ 劫持sdk<=22設備

下圖通過讀取android系統下proc文件夾的相關信息,獲取sdk>22 設備的頂層應用包名。

↑ 獲取sdk>22頂層包名

如果當前運行應用與待劫持的銀行應用匹配,惡意代碼將聯系C&C服務端來返回仿冒的銀行登錄界面,并利用webview加載。如打開銀行應用com.garenti.cepsubesi,木馬會發出packageName+deviceId的請求來接受釣魚頁面。此惡意軟件釣魚頁面都以HTML來布局,可推測該黑產由網站釣魚轉型移動app劫持釣魚。

分析發現在釣魚頁面內插入了一段js,可將用戶輸入的銀行賬號密碼發送到服務端。

↑ 釣魚界面

↑ 提交用戶輸入

該木馬通過遠程指令可打開短信攔截開關,截取銀行發送的認證短信,并從短信箱刪除銀行消息。

攻擊者順利截獲受害者銀行賬號、密碼、校驗短信,成功繞過雙因素認證,這樣受害者不僅僅構造成了一個可以被攻擊者控制的移動僵尸網絡,更成了攻擊者的天然提款機,如同自己私人銀行一般。

安全建議

用戶下載應用請到官方網站或安全應用市場,切勿點擊任何色情鏈接,尤其是短信、QQ、微信等聊天工具中不熟識的“朋友”發來的鏈接。

如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟件,對手機上的應用進行檢測,防止高風險惡意應用的安裝。


作者:逆巴@阿里聚安全

更多阿里安全類技術文章,請訪問阿里聚安全官方博客

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11220.html

相關文章

  • AVPass技術分析:銀行劫持病毒鼻祖BankBot再度來襲,如何繞過谷歌play的殺毒引擎?

    摘要:經錢盾反詐實驗室研究發現,該批惡意應用屬于新型。可信應用商店繞過殺毒引擎,這樣病毒自然能輕松入侵用戶手機。安全建議建議用戶安裝錢盾等手機安全軟件,定期進行病毒掃描。 背景近期,一批偽裝成flashlight、vides和game的應用,發布在google play官方應用商店。經錢盾反詐實驗室研究發現,該批惡意應用屬于新型BankBot。Bankbot家族算得上是銀行劫持類病毒鼻祖,在...

    William_Sang 評論0 收藏0
  • 從Google Play下載應用并不安全,上千款監視軟件偽裝其中

    摘要:月同時,約有百萬用戶在谷歌應用商店里感染了惡意軟件,它隱藏在超過多個流行的游戲中,例如。近日安全研究者發現在第三方應用市場和谷歌應用商店存在上千款惡意偽裝軟件。是如何工作的首先上傳至谷歌應用市場,偽裝成名為的通信工具。 如果你認為在官方應用市場里下載app就覺得安全的話,小編可以負責任的回答你:too young too simple,sometimes native 今年4月,Ban...

    Miyang 評論0 收藏0
  • 2016 錢盾安全報告(8月版)

    摘要:信息泄漏嚴重,詐騙金額一路上升年至年上半年,根據錢盾監控的案件數據表明,單次詐騙金額逐月上漲,從元上漲到元,上漲。詳細版錢盾安全報告版,請點擊這里下載下載地址 一、摘要 近年來電信詐騙案件頻發,從2011年至2015年,全國電信詐騙案件數量從10萬件飆升至約60萬件。而在今年,電信詐騙的數量依然在上升,政府部門在各種公開場合強調必須依法嚴厲打擊,減少其對人民群眾財產安全和合法權益的損害...

    RichardXG 評論0 收藏0
  • 新型Android惡意軟件竊取378個銀行和錢包應用程序的財務數據

    摘要:與其前身和其他銀行惡意軟件一樣,旨在竊取聯系信息短信打開任意應用程序,并觸發針對眾多金融應用程序的覆蓋,以竊取登錄憑據。此外,它還開發了新功能,允許惡意軟件清除特定應用程序的緩存,并竊取存儲在設備上的帳戶。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflo...

    ruicbAndroid 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<