安基网 首页 资讯 安全报 查看内容

Geost:目标锁定俄罗斯银行客户的新型安卓木马病毒

2020-3-18 18:04| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: Geost,一种由Stratosphere实验室的SebastianGarcía、Maria Jose Erquiaga和Anna Shirokova在追踪HtBot僵尸网络时发现的新型安卓银行木马。据称,在2019年至少有80万部移动设备成为HtBot僵尸网络的牺牲品,其中绝大多数受害者都是俄罗斯银行的客户。近日,网络安全公司趋势科技对捕获的Geost样本进行 ...
Geost,一种由Stratosphere实验室的SebastianGarcía、Maria Jose Erquiaga和Anna Shirokova在追踪HtBot僵尸网络时发现的新型安卓银行木马。

据称,在2019年至少有80万部移动设备成为HtBot僵尸网络的牺牲品,其中绝大多数受害者都是俄罗斯银行的客户。

近日,网络安全公司趋势科技对捕获的Geost样本进行了逆向工程,旨在帮助大家对这种新型安卓银行木马有一个更深入的了解。

技术分析

根据趋势科技的说法,Geost隐藏在某些恶意APP中。这些APP在启动后会请求一系列权限,而一旦受害者同意授予,就会遭到感染。

例如,由趋势科技捕获的Geost样本就隐藏在一款名为“установка”(相当于中文中的“设置”)的恶意APP中。

该APP盗用了谷歌应用商店Google Play的图标来伪装自己,且图标在APP启动后将从手机屏幕上消失。

图1.使用Google Play图标的установка APP

在启动后,установка APP会请求设备管理员权限。这显然是不寻常的,因为合法APP通常都不会这么做。

一旦受害者点击“同意”,便会在不知不觉间授予Geost一些重要权限,包括对短信的访问权限,以及对来自网银APP的消息的访问权限。

通过读取这些消息,Geost便能够收集包括受害者姓名、余额以及其他和银行账户相关的详细信息。而只需要单击几下,攻击者便可以悄无声息地从受害者的银行账户中转移资金。

图2.请求设备管理员权限

图3.用于请求设备管理员权限的代码

如上所述,恶意APP在启动后还会隐藏自己的图标,目的是误导受害者认为该APP已经从手机上删除,进而隐藏其恶意行为。

为实现长久驻留,恶意APP还会为BOOT_COMPLETED和QUICKBOOT_POWERON广播进行注册。(APP可通过监听BOOT_COMPLETED和QUICKBOOT_POWERON实现自启动)

图4.注册服务以启动广播

至于Geost的完整功能,我们可以从其支持的命令列表看出,具体如下:

  • #conversations-从短信中收集各种信息,并上传到C&C服务器;
  • #contacts-收集电话簿中联系人列表,并上传到C&C服务器;
  • #calls-收集呼出的电话,并上传到C&C服务器;
  • #apps-收集已安装APP的名称,并上传到C&C服务器;
  • #bhist-<在此样本中未启用>;
  • #interval {set:number}-设置获取C&C服务器命令的时间段;
  • #intercept-设置拦截来自指定号码的短信(全部或指定号码);
  • #send id:, to:, body:-发送短信;
  • #ussd {to:address, tel:number}-通过USSD框架拨打电话;
  • #send_contacts-发短信给电话簿中的所有联系人;
  • #server-设置运行时间;
  • #check_apps {path:uri_to_server}-将正在运行的APP列表上传到C&C服务器,从参数中定义为error.zip的路径下载archive.zip文件,然后将其解压缩;
  • #send_mass {messages: {to:address, body:text}, delay:ms}-同时发送多条短信给不同的联系人;
  • #lock-从ClearServiceRunnable启动RLA服务,以拦截AKEYCODE_HOME、KEYCODE_CAMERA和AKEYCODE_FOCUS事件,以及拦截onBackPressed(),使铃声静音,清除所有短信通知等;
  • #unlock-禁用#lock命令,并通过终止ClearServiceRunnable来解锁手机;
  • #makecall {number:tel_number}-使用标准的android.intent.action.CALL API拨打电话;
  • #openurl {filesDir=j:url}-打开指定网页;
  • #hooksms {number:tel_number}-挂接到号码,即将所有收到的短信转发到参数中的号码;
  • #selfdelete-将任务时间设置为无法解析的字符串值,这将导致调度任务停止。

图5。 C&C命令列表

结语

内嵌Geost木马的恶意APP出现再次提醒我们,在安装某款APP时,一定要仔细查看它所请求的权限。当然,尽量从官方渠道下载所需的APP仍是你最正确的选择。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6804638719966970371/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
新宝GG彩票计划群 全迅彩票计划群 极速赛车实力大平台 大乐购彩票计划群 极速赛车开奖是真的吗 百万彩票 七星彩票计划群 极速赛车实力大平台 内蒙古11选5开奖 鸿利彩票计划群