瞄準“兩牙”:新型銀行木馬攻擊葡萄牙和西班牙語用戶
近期,研究人員分析了一種新的Android銀行木馬,該木馬似乎針對說西班牙語或葡萄牙語的國家(即西班牙、葡萄牙、巴西和拉丁美洲等地區)。該木馬程序基於現有簡單程序SMSstealer.BR建立,但是添加了更復雜的功能。這類惡意軟件其中部分被稱爲“Banker.BR”。
目前,惡意軟件正通過短信傳播,這些短信將用戶引導到攻擊者控制的惡意域。這些信息通知用戶下載移動銀行需要用到的虛假安全應用的最新版本。一旦用戶單擊下載,那麼就會從合法文件共享平臺開始下載。
鑑於這個虛假應用是從第三方來源下載的,因此默認情況下不會在Android設備上授權執行操作,接下來就給用戶提供指導,如何通過設備的“設置”菜單啓用側面加載。
圖1:新的銀行惡意軟件要求用戶啓用側面加載
在當前狀態下,這種新型惡意軟件可以通過覆蓋攻擊啓用網絡釣魚,從而竊取用戶的網絡銀行憑據,並接管用戶的銀行帳戶,還可以通過短信發送的驗證碼盜竊兩因素身份驗證(2FA)。種種方式都可以幫助攻擊者從受害者的銀行帳戶中完成欺詐性交易。
新型代碼庫
根據研究人員分析,Banker.BR的代碼是全新的,並且不依賴於先前泄漏的代碼或現有的移動惡意軟件。儘管現在已經發現了該木馬的早期版本,該木馬僅具有基本的SMS竊取程序,本文着重介紹了新型的、更加複雜的“屏幕覆蓋攻擊”惡意軟件功能,這是Android銀行惡意軟件所共有的策略。
在最開始的時候,這種惡意軟件只能竊取SMS消息,使用該惡意軟件的攻擊者很可能從其他來源(例如網絡釣魚攻擊和地下憑據供應商)獲得了用戶憑據。隨着其不斷發展,它增加了覆蓋攻擊功能,在網絡釣魚階段就可以感染用戶設備。
儘管它具有和同類惡意軟件相同的功能,但它沒有實時從其C&C服務器中提取重疊圖像的功能,因爲這要求在設備自身的資源中調用嵌入式屏幕,所有它會比其他使用這類方法的惡意軟件來得遲鈍。
雖然大多數應用都是使用Java / Kotlin編程語言實現的,而Java / Kotlin編程語言是Android Studio開發基礎平臺的一部分,但Banker.BR的編程語言是B4X編程語言。B4X是Visual Basic的現代版本,它是用於創建Android和iOS操作系統的應用程序快速集成開發環境(IDE)套件的一部分。它通常不用於創建惡意軟件應用程序。
缺乏反研究功能
研究人員還注意到尚且還不屬於惡意軟件整體部署的一些特徵:
儘管使用利基IDE確實會產生開銷代碼,而反向打包更具挑戰性,但不打包或混淆該惡意軟件會讓反向工程更容易實現。
與類似的惡意軟件不同,新型木馬在設備安裝之前,不會驗證它是否已在虛擬環境中運行或是否正在調試。從這個意義上講,它缺乏反研究功能,因此更易於分析。
我們找不到任何代理功能或任何調用操作功能。
建立持久性
使用可傳播的接收器能讓銀行木馬長期存在。接收器是一個Android組件,允許應用程序獲取有關係統和應用程序事件的通知。在這種情況下,惡意軟件應用程序將會得知ACTION_BOOT_COMPLETED系統事件,一旦系統完成新的啓動過程,這些事件通知就會發送出去。
當收到系統通知時,惡意軟件會自行運行,而無需用戶干預。
惡意許可授予
Banker.BR往往會濫用無障礙服務,不詢問用戶或無需用戶參與就爲自身授予所需權限。從編程手法上來說,要想實現這個目的,只要要求用戶允許或者拒絕運行權限即可,比如點擊屏幕上的“允許”按鈕。
該惡意軟件的執行速度比人類快,因此不會給用戶提供任何機會做出反應或拒絕該惡意軟件接收其要求的權限。一旦允許初始操作,Banker.BR可以進一步爲其自身授予其他權限。
圖2:自動批准權限
該惡意軟件尋求的權限包括:
讀取手機狀態
攝像頭訪問
閱讀通訊錄
閱讀和接收短信
寫入外部存儲
圖3:Banker.BR權限列表
泄露設備信息和SMS內容
安裝後,惡意軟件會收集一些設備信息,並將其發送到攻擊者的C&C,後者是硬編碼到惡意軟件中的域地址。此信息包括以下內容:
電話號碼
國際移動設備識別碼(IMEI)
國際移動訂戶身份(IMSI)
SIM序列號(SSN)
惡意軟件爲每個設備隨機分配的唯一Bot ID
該惡意軟件處於活躍狀態時,還可以竊取和泄露SMS消息,抓取銀行或其他服務提供商發送給用戶的2FA代碼。該惡意軟件註冊了一個接收器,可以在運行時處理新接收到的SMS(SMS_RECEIVED),並且不再Manifest中顯示,這樣子用戶就看不到了。
圖4:Banker.BR SMS控件
“守株待兔”
Banker.BR在設備後臺“按兵不動”,監視用戶打開的應用程序“守株待兔”,等待目標應用程序的啓動。
設備上的輔助功能服務是Android惡意軟件應用程序監視前臺運行APP的常見手段。惡意軟件等待匹配,在合適的時間和情境下啓動覆蓋屏幕來欺騙用戶,並將他們的憑證放到疊加層中。
圖5:惡意軟件正在等待有針對性的應用程序啓動
通過監聽onaccessibilityevent和事件類型TYPE_WINDOW_STATE_CHANGED可以實現,這將意味着用戶界面會發生變化。
接下來,惡意軟件調用_acs_onactivitynameretrieved函數,該函數將驗證活動名稱是否與其目標匹配。如果檢測到匹配項,則該惡意軟件將在相應的覆蓋屏幕上調用與該銀行應用程序相匹配的界面。
圖6:銀行名稱模糊的針對Banker.BR的應用程序
覆蓋屏幕通常會顯示銀行的徽標,並要求用戶提供登錄憑據。
與此類中的其他惡意軟件不同,覆蓋屏幕被嵌入到惡意軟件中,而不是從攻擊者的C&C服務器中實時獲取的。這是一種不太靈活的方法,不允許對假屏幕進行即時更新,而需要進行惡意軟件更新才能交付更改。它還會將所有可用屏幕暴露給分析惡意軟件的外部人員。
圖7:示例疊加屏幕,要求用戶輸入其帳戶登錄憑據
攻擊對象
目前,研究人員觀察到這種新型惡意軟件主要針對巴西的銀行。在某些情況下,攻擊目標也擴大到世界其他地區,即西班牙、葡萄牙和整個拉丁美洲,這或許可以表明攻擊者的所處位置或來源。
通過更改目標列表和嵌入式屏幕,從而修改其攻擊範圍和潛在目標,可以非常輕鬆地將這種類型的惡意軟件重定向到其他區域。它可以定位到銀行,但也可以定位到設備上任何其他應用程序的用戶憑據,或以Google Play商店請求爲幌子竊取支付卡數據。
研究人員指出,Banker.BR正在不斷發展,將爲新的目標銀行添加新屏幕樣式,並在未來幾個月內有望增強代碼。
危害指標(IoC)
早期版本的SHA-256-僅SMS竊聽器
39a197185f7fa277108c2f240dda7ebbe174f8740ba78d8f88f1eb448b60159e fae34dd516a00dc0c2c2cc8e5a026648f3a60db66cc3c480ff605daf04e25d1c 165394fecd7dcfa01a3c5d60489fe51c87aa7743f3775cd9c075988142fa0dd6 710ef119c573857e4607da5a36ddb9846db43b2ba44b257ebaf98d21ef40f7f6 0f1077ea1b0b39f7cbd3f00edac251c2f10cae578e37818184cc00b3853d1b49 b55bb0515d55c85afdc0da5afdf9dd9ff57b4b7c6ddfdda41d761d5d256118e7 cbc72184561f3b98c80a3901c6bcbcd648266fcb5724329db2a01569c0e46057 48a4210c09dd8539d386d80139fd38170cad06b0bbe47ee413b185f1410fe41f 58bd88693864b0375032d3507fe359e79d1ee179e51c5a7d1b2b8e17c8102a17 120f82c45c694fa7c22f1f2ed6ab0b08b8471d8f6d427af3282972a1a51744bd
SHA-256更高版本—完整的覆蓋惡意軟件
1e230466d1a01b1ff39494391d2d8abbd4cd0762cbfedc9576cfe576bc4cc347 634059e38477771fd8409ef2188a211a2f0d9a730fe1e50c0010c5785a2b2e3e 74a757389b24bcc100cc0407f1363301e63e54e93f53c5a52106db15fbd10316 001230e571bd73dfdc04d1f32f6b3e21cebb9eafea262edf1741c006c0fd5c61 9b18b0941932f68edfad08235226412a762965b651373ff3744514577bef2767 918a523725821000e0b882769a22d5c0f6d37cca1f5d437840e7372252a6b75e 95c25547034a532f8cada4220213e190d479d12d481ece3b160ee086cb9d26f1 d333fda60b5f62c61be6214e64fe79ee78c66bdd1f995736aeeb33cddc7494ea C7e3cc7e5fc9a82f02939769b986f5c9ae3ed1b3a88fa24c2c26c7b1d042fb60
*參考來源: securityintelligence ,Sandra1432編譯,轉載請註明來自FreeBuf.COM
