資訊專欄INFORMATION COLUMN
摘要:經錢盾反詐實驗室研究發現,該批惡意應用屬于新型。可信應用商店繞過殺毒引擎,這樣病毒自然能輕松入侵用戶手機。安全建議建議用戶安裝錢盾等手機安全軟件,定期進行病毒掃描。
背景
近期,一批偽裝成flashlight、vides和game的應用,發布在google play官方應用商店。經錢盾反詐實驗室研究發現,該批惡意應用屬于新型BankBot。Bankbot家族算得上是銀行劫持類病毒鼻祖,在今年年初曾爆發,之前主要針對歐洲國家,可劫持50多家銀行應用,而新發酵的BankBot已將攻擊目標擴散到全球,可劫持銀行增加到145家。
那么新型BankBot是怎么再次入侵用戶手機?
能上架應用商店和入侵用戶手機,BankBot使用了AVPass技術,包括針對靜態分析和動態沙盒的逃逸,這樣成功繞過大多數殺毒引擎。可信應用商店+繞過殺毒引擎,這樣病毒自然能輕松入侵用戶手機。本文接下來的內容將解析BankBot是如何規避殺毒引擎,病毒劫持釣魚過程可參考《警惕一大波銀行類木馬正在靠近,新型BankBot木馬解析》。
AVPass分析
1、使用成熟的AVPass技術,可繞過反病毒檢測系統
病毒AvPass工作流程圖如下:
Binary Obfuscation
混淆自身特征,包括類名、函數名、字符串加密、反射調用,并將待劫持應用包名sha1編碼,隨后使用加固技術,將惡意dex打包加密。處理后的app如下圖:
2、對抗動態沙盒
通過自檢測運行環境和增加用戶行為交互對抗沙盒,新型BankBot只有同時滿足以下4條才會觸發惡意行為:
運行在Android5.0以及以上設備
運行設備非俄羅斯、巴西、烏克蘭用戶
檢測運行環境,若非真機環境將不會觸發惡意行為
用戶行為交互,點擊按鈕
下圖運行設備檢測
3、FCM遠控,獲取短信驗證碼
目前,各大銀行實施雙因素認證即在支付過程中進行身份認證和基于手機動態密碼的驗證。BankBot在通過釣魚拿到用戶銀行身份信息后,還差動態短信,之前BankBot直接使用短信劫持,但這樣殺軟可通過靜態或動態檢測出惡意行為。新型BankBot通過集成谷歌提供的Firebase Cloud Messaging(簡稱FCM)框架,利用FCM向指定設備發送指令數據,從而獲取受害者短信驗證碼,也就是控制端在成功釣魚后,通過FCM下發獲取短信的指令,病毒讀取最新短信,通過網絡上傳至控制端。下圖整個攻擊流程。
FCM下發的指令數據還包括:更新C&C地址、彈偽造的通知欄、界面劫持數據,其中彈偽造的通知欄和界面劫持都是BankBot的釣魚手段。下圖下發的指令數據。
攻擊者一旦成功截獲受害者銀行賬號、密碼和短信動態驗證碼,將繞過銀行雙因素認證,這樣受害者們不僅僅構造成了一個可以被攻擊者控制的移動僵尸網絡,更成了攻擊者的天然提款機。
安全建議
1、建議用戶安裝錢盾等手機安全軟件,定期進行病毒掃描。
2、切勿點擊任何陌生鏈接,尤其是短信、QQ、微信等聊天工具中不熟識的“朋友”發來的鏈接。
作者:錢盾反詐實驗室,更多安全類熱點信息和知識分享,請關注阿里聚安全的官方博客
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11266.html
摘要:月同時,約有百萬用戶在谷歌應用商店里感染了惡意軟件,它隱藏在超過多個流行的游戲中,例如。近日安全研究者發現在第三方應用市場和谷歌應用商店存在上千款惡意偽裝軟件。是如何工作的首先上傳至谷歌應用市場,偽裝成名為的通信工具。 如果你認為在官方應用市場里下載app就覺得安全的話,小編可以負責任的回答你:too young too simple,sometimes native 今年4月,Ban...
摘要:就在近期,阿里聚安全檢測到大量新型家族木馬,木馬偽裝成等應用,可劫持全球至少家大型銀行手機用戶。如果不確定手機是否毒,可以安裝阿里錢盾等手機安全軟件,對手機上的應用進行檢測,防止高風險惡意應用的安裝。 背景 來自安全公司Dr.Web的研究人員說,最近一個未命名的Android銀行木馬源代碼在地下黑客論壇遭到了泄露。就在近期,阿里聚安全檢測到大量新型BankBot家族木馬,木馬偽裝成Go...
摘要:根據百度的說法,這是全球首次將深度學習領域技術應用在客戶端,獨創了深度神經網絡查殺技術。在過去,吳恩達說,百度用神經網絡來幫助偵測廣告。 吳恩達拿起他的手機,打開了臉優 app。他現在正位于硅谷公司的研究室。在辦公桌邊吃飯,談話內容很自然地也涉及到人工智能。他是百度的首席科學家,同時也是斯坦福大學計算機系的教授。在其他搜索引擎仍在發展時,他就曾幫助谷歌啟動了腦計劃,現在他在百度從事相似的人工...
摘要:每天新增近個新移動病毒樣本,每秒生成個阿里聚安全移動病毒樣本庫年新增病毒樣本達個,平均每天新增個樣本,這相當于每秒生成一個病毒樣本。阿里聚安全的人機識別系統,接口調用是億級別,而誤識別的數量只有個位數。 《阿里聚安全2016年報》發布,本報告重點聚焦在2016年阿里聚安全所關注的移動安全及數據風控上呈現出來的安全風險,在移動安全方面重點分析了病毒、仿冒、漏洞三部分,幫助用戶了解業務安全...
閱讀 3091·2023-04-25 15:44
閱讀 1876·2019-08-30 13:11
閱讀 2830·2019-08-30 11:11
閱讀 3004·2019-08-29 17:21
閱讀 1306·2019-08-29 15:38
閱讀 898·2019-08-29 12:49
閱讀 1793·2019-08-28 18:19
閱讀 3222·2019-08-26 14:01
