首页 >  安全技术

ESET发布用于操控银行僵尸网络的Android恶意软件源码

几维安全 2017-03-01 10:44:02 阅读:1747次

最近由ESET再次在Google Play上发现了新的Android银行恶意软件,此次针对更多的银行软件。进一步调查再次出现的病毒威胁,发现它的代码是基于几个月前公开的源代码所构建。

以前的版本被ESET检测为Trojan.Android/Spy.Banker.HU(版本1.1 - 由其作者在源代码中标记),并在2月6 日报告。恶意软件是通过Google Play上合法的天气预报应用程序Good Weather分发。该木马针对22个土耳其移动银行应用程序,试图使用虚假的登录页面获取登录凭据。此外,它还可以锁定和解锁受感染的设备远程,以及拦截短信。

上周日,我们在Google Play上发现了一个新版本的木马,伪装成另一个合法的天气应用,这次是World Weather。该木马由ESET检测为Trojan.Android/Spy.Banker.HW(版本1.2),自2月14日起在Google Play商店中提供下载,直到ESET报告并于2月20日从商店下线。


连接点

第二个发现导致了另一轮调查,提供了一些有趣的启示。

事实证明,这两个Android木马都是基于一个网上公开免费源代码。从一开始,Android恶意软件的“模板”代码以及C&C服务器的代码(包括网络控制面板)从2016年12月19日起在俄罗斯论坛上就有提供。

图1 - Android恶意软件和C&C的源代码在俄罗斯论坛上公开

随后的调查发现了drweb.com的研究结果,我们注意到,有谁分析过该恶意软件(通过我们的系统在2016年12月26日发现Android / Spy.Banker.HH之后

不过,即使此变体与1.0版本有相同的检测名称,但是也与我们在Google Play上找到的变体没有直接的关系。我们在访问僵尸网络的C&C服务器的控制面板之后,能确认该服务器在我们调查时已启动并运行。通过控制面板,我们能够收集所有2800多个感染机器人的恶意软件版本的信息。

图2 - C&C web控制面板列出恶意软件的受害者

以下是受恶意软件影响的用户组的概述,基于C&C控制面板中列出的僵尸网络数据:

有趣的是,自2017年2月2日起开始运行的C&C服务器本身已被具有URL的任何人访问,无需任何凭据。 

图3 - 调查时间表


它如何操作?

新检测到的版本具有与其前身基本上相同的功能。除了从原始的应用程序转成采用天气预报功能,Trojan.Android/Spy.Banker.HW能够通过设置锁定屏幕密码,拦截文本消息,远程锁定和解锁受感染的设备。

两者之间的唯一区别似乎是更广泛的目标群体 - 恶意软件现在影响英国,奥地利,德国和土耳其银行应用程序的用户 ,以及使用了更先进的混淆技术。

 

4a.png

4b.png

图4 - Google Play上的恶意应用程式

图5 - 绿色合法的世界天气图标; 红色 - 恶意版本

木马还有一个内置的通知功能,其目的是通过访问C&C服务器来验证。事实证明,恶意软件能够在受感染的设备上显示虚假通知,提示虚假的银行“重要消息”,诱导用户启动目标银行应用程序。通过这样做,就通过假登录页面的形式触发了一个恶意行为。

 

图6 - C&C向受感染设备发送假通知消息

图7 - C&C发送的虚假银行应用程序通知


我的设备是否已被感染?如何清理木马?

如果您最近通过Google Play商店安装了天气应用程序,那么您应该检查手机,看看是否已成为此银行木马的受害者。

如果您认为您可能下载了名为Weather的应用程序,请在“设置” - >“应用程序管理器”下找到它。如果您看到的应用程序如图8,并在设置 - >安全 - >设备管理员(图9)下找到了“系统更新”,那么说明您的设备已被感染。

要清理设备中的病毒,我们建议您使用移动安全解决方案,或者手动删除恶意软件。

要手动卸载该木马,首先需要停用其设备管理员权限,找到设置 - >安全 - >系统更新,并停用。完成后,您可以在设置 - >应用程序管理器 - >卸载恶意天气应用程序。


图8:Application Manager中的木马

图9:在活动设备管理员下伪装为系统更新的恶意软件 


如何保持安全

虽然这特定的僵尸网络攻击者选择通过木马天气应用程序传播恶意软件,并针对本文底部列出的银行,但不保证代码不会或没有在其他地方使用。

考虑到这一点,坚持一些基本原则,远离移动恶意软件是很好的。

虽然不是完美无瑕,Google Play仍然采用先进的安全机制来防止恶意程序出现。由于这种情况可能与其他应用商店或其他未知来源不同,请尽可能选择官方Google Play商店。

从Google Play商店下载时,请务必在安装或更新前了解应用程序权限。不要自动向应用程序提供其所需的权限,而应考虑它们对应用程序和设备的含义。如果有什么似乎脱节,阅读其他用户写在他们的评论,并重新考虑下载相应。

运行移动设备上安装的任何程序时,请始终注意其请求的权限。如果应用程序没有获取到权限,就不能正常的运行,连接它期望的功能,那该应用程序可能不是您想要安装的应用。

如果您想了解有关基于Android的恶意软件的详情,请查看我们有关此主题的最新研究

您也欢迎ESET在今年的移动世界大会上站立。


样品

软件包名称哈希检测
goodish.weatherCA2250A787FAC7C6EEF6158EF48A3B6D52C6BC4BAndroid / Spy.Banker.HH
goodish.weatherA69C9BAD3DB04D106D92FD82EF4503EA012D0DA9Android / Spy.Banker.HU
follon.weatherF533761A3A67C95DC6733B92B838380695ED1E92Android / Spy.Banker.HW


目标应用程序

Android / Spy.Banker.HH和Android / Spy.Banker.HU:

com.garanti.cepsubesi

com.garanti.cepbank 

com.pozitron.iscep 
com.softtech.isbankasi 
com.teb 
com.akbank.android.apps.akbank_direkt 
com.akbank.softotp 
com.akbank.android.apps.akbank_direkt_tablet 
com.ykb。 androidtablet 
com.ykb.android.mobilonay 
com.finansbank.mobile.cepsube 
finansbank.enpara 
com.tmobtech.halkbank 
biz.mobinex.android.apps.cep_sifrematik 
com.vakifbank.mobile 
com.ingbanktr.ingmobil 

com.tmob.denizbank 

tr.com.sekerbilisim.mbank 

com.ziraat.ziraatmobil 
com.intertech.mobilemoneytransfer.activity 
com.kuveytturk.mobil 

com.magiclick.odeabank

Android / Spy.Banker.HW:

com.garanti.cepsubesi 
com.garanti.cepbank 
com.pozitron.iscep 
com.softtech.isbankasi 
com.teb 
com.akbank.android.apps.akbank_direkt 
com.akbank.softotp 
com.akbank.android.apps.akbank_direkt_tablet 
com.ykb。 android 
com.ykb.androidtablet 
com.ykb.android.mobilonay 
com.finansbank.mobile.cepsube 
finansbank.enpara 
com.tmobtech.halkbank 
biz.mobinex.android.apps.cep_sifrematik 
com.vakifbank.mobile 
com.ingbanktr.ingmobil 
com.tmob .denizbank 
tr.com.sekerbilisim.mbank 
com.ziraat.ziraatmobil 
com.intertech.mobilemoneytransfer.activity 
com.kuveytturk.mobil 
com.magiclick.odeabank 
com.isis_papyrus.raiffeisen_pay_eyewdg 
at.spardat.netbanking 
at.bawag.mbanking 

at.volksbank.volksbankmobile 

com.bankaustria.android.olb 
at.easybank.mbanking 
com.starfinanz.smob.android.sfinanzstatus 
com.starfinanz.smob.android.sbanking 
de.fiducia.smartphone.android.banking.vr 
com.db.mm.deutschebank 

de.postbank.finanzassistent 

de.commerzbanking.mobil 
com.ing.diba.mbbr2 
de.ing_diba.kontostand 
de.dkb.portalapp 
com.starfinanz.mobile.android.dkbpushtan 
de.consorsbank 

de.comdirect.android 

mobile.santander.de

de.adesso.mobile.android.gad 

com.grppl.android.shell.BOS 
uk.co.bankofscotland.businessbank 
com.barclays.android.barclaysmobilebanking 
com.barclays.bca 
com.ie.capitalone.uk 
com.monitise.client.android。 clydesdale 
com.monitise.coop 
uk.co.northernbank.android.tribank 
com.firstdirect.bankingonthego 
com.grppl.android.shell.halifax 
com.htsu.hsbcpersonalbanking 
com.hsbc.hsbcukcmb 
com.grppl.android.shell.CMBlloydsTSB73 
com。 lloydsbank.businessmobile 
uk.co.metrobankonline.personal.mobile 
co.uk.Nationwide.Mobile 
com.rbs.mobile.android.natwest 
com.rbs.mobile.android.natwestbandc 

com.rbs.mobile.android.rbsm 

com.rbs.mobile.android.rbsbandc 

uk.co.santander.santanderUK 
uk.co.santander.businessUK.bb 
com.tescobank.mobile 
uk.co.tsb.mobilebank 
com.rbs.mobile.android.ubn 

com.monitise.client.android


几维安全是一家顶级的移动安全公司,能为您的APP提供专业的移动安全保护,让APP远离破解,远离病毒,远离外挂!


本文出自http://www.welivesecurity.com,由几维安全翻译,转载请注明来自KiwiSec.com



《安卓应用加密》 《Unity3D手游加密》 《源代码加密》 《移动端的KiwiVM虚拟机》