安基网 首页 资讯 安全报 查看内容

针对银行用户的新型间谍软件来袭

2020-5-2 02:01| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 背景:近些年,地下黑产组织针对全世界各国大型银行进行持续性的APT攻击,尤其是针对韩国、西班牙、葡萄牙等大型银行,采用仿冒、间谍软件、钓鱼劫持、勒索等技术手段,窃取用户个人信息,非法入侵用户的互联网账户系统。近期,恒安嘉新暗影安全实验室在日常监测中,发现一批针对韩国银行用户的新型间 ...



背景:近些年,地下黑产组织针对全世界各国大型银行进行持续性的APT攻击,尤其是针对韩国、西班牙、葡萄牙等大型银行,采用仿冒、间谍软件、钓鱼劫持、勒索等技术手段,窃取用户个人信息,非法入侵用户的互联网账户系统。近期,恒安嘉新暗影安全实验室在日常监测中,发现一批针对韩国银行用户的新型间谍软件。这批木马样本仿冒成“智能快递”、“罗森快递”、“CJ韩国快递”、“现代快递”、“交货查询”、“韩进快递”、“SJEMS”等12种知名快递公司名称,采用加固代码隐藏,免杀,任意更换远程控制地址、任意替换新型木马等手段,配置非常灵活,根据C&C端下发的指令进行远程控制,窃取用户手机号码、通信录、通话录音、短信等个人隐私信息,最终盗取用户互联网账户的资金,其中,“智能快递”间谍木马的安装图标如图1所示。

图1 “”(智能快递)图标1.基本信息样本名称:(智能快递)样本MD5:d891a72721a8f2b31c5e0759afb0d4a9样本包名:com.mix.kr签名信息:CN=AndroidDebug,O=Android,C=US2.运行原理该程序是一款通过仿冒成“”(智能快递)名称的间谍木马软件,开机时自启动,隐藏安装图标,激活设备管理器,屏蔽拦截短信、屏蔽挂断指定电话、上传通话录音文件、删除通话记录,上传用户手机号和固件信息到指定服务器,根据C&C服务端下发的指令执行远程控制行为:

  1. 设置配置文件信息
  2. 上传通信录列表
  3. 上传应用列表
  4. 上传短信列表
  5. 发送任意短信
  6. 更新间谍软件程序
  7. 更新服务器地址

木马运行流程示意图:

图2 木马运行流程示意图3.代码分析新型间谍木马采用伪加固将其核心代码隐藏,避开杀软检测,同时,通过C&C服务端任意更新间谍木马变种版本,任意更新服务器地址,主要分为基础功能和远控功能两大部分,所谓基础功能就是样本自身所具有的恶意行为,远控功能就是与C&C服务端交互的恶意行为。

图3 代码框架通过C&C服务端任意更新间谍木马变种版本,任意更新服务器地址后续说明。(1)基础功能开机时自启动,隐藏安装图标,激活设备管理器,屏蔽拦截短信、屏蔽挂断指定电话、上传通话录音文件、删除通话记录。隐藏安装图标:

图4 隐藏安装图标激活设备管理器:

图5 激活设备管理器屏蔽拦截短信:

图6 屏蔽拦截短信屏蔽挂断指定电话:

图7 屏蔽挂断指定电话删除通话记录:


图8 删除指定通话记录后台开启服务将通话录音发送到指定邮箱:


图9 将通话录音发送到指定邮箱(2)远控功能上传手机号、固件信息,并请求远控指令,根据C&C服务端下发的指令执行远程控制行为。上传手机号、固件信息,并请求远控指令:

图10 获取手机号

图11 请求远控指令根据C&C服务端下发的指令执行远程控制行为:C&C服务端指令指令详解http://113.***.137.171 /kbs.phpsendsms发送任意短信http://113.***.137.171 /kbs.phpissms设置短信相关配置文件http://113.***.137.171 /kbs.phpiscall设置电话相关配置文件http://113.***.137.171 /kbs.phpcontact上传通讯录联系人http://113.***.137.171 /kbs.phpapps上传应用程序列表http://113.***.137.171 /kbs.phpchangeapp更新木马http://113.***.137.171 /kbs.phpmove更新服务器地址接收到指令“sendsms”,发送任意短信:

图12 发送短信并反馈接收到指令“issms/iscall”,设置短信/电话相关的配置参数:

图13 设置短信/电话相关的配置参数接收到指令“contact”,上传通讯录联系人:

图14 上传通讯录联系人接收到指令“apps”,上传应用程序列表:


图15 上传应用程序列表接收到指令“changeapp”,卸载并更新木马版本(指定的仿冒银行木马):

图16 卸载并更新木马版本涉及韩国的NH智能银行、新韩银行、韩亚银行、友利银行、KB国民银行等5家银行,针对性非常强。

图17目标银行列表接收到指令“move”,更新C&C服务器地址:

图18 更新C&C服务器地址4.溯源分析从上文技术分析我们得到了C&C服务器地址,远控邮箱账户。(1)溯源IP地址从这批木马C&C服务器所在位置的角度,我们发现8个不同IP地址(IP地址去重),其中,中国香港占4个,日本占3个,美国占1个。样本MD5服务器地址IP地理位置DD0ACE0363BA60A96753ED21D4DDEB07http://103.***.237.30/kbs.php中国香港C72F2B6DC3D8F3BBF506E7CB7F35B79Fhttp://113.***.136.143/kbs.php中国香港F36AA75CFE9EEC1D8E755C34AC50AC45http://113.***.137.171/kbs.php中国香港3C326883FEB95ABB049A010EFD738A83http://113.***.137.236/kbs.php中国香港3DA715A5191065D596AEE0AEDF27C7EBhttp://60.***.97.36/kbs.php日本东京都5A678A32CA866F13FF99A0ECB1FBC457http://122.***.100.128/kbs.php日本兵库县97966D65B2976B06CCE09E6C4299A713http://126.***.162.113/kbs.php日本东京都DDCB9D034A01B014173BA80DC1ACB5BDhttp://45.***.80.109/kbs.php美国加利福尼亚州洛杉矶其中,103.251.237.30地址反查,我们发现其曾经绑定过的58个域名(二级域名去重),经常用于僵尸网络和垃圾邮件。IP地址曾经绑定过的部分域名列表如下:序号域名1111***.cnwww.111***.cn2ahz***.cnwww.ahz***.cn3ait***lyzers.cnmail.ait***lyzers.cn4www.aita***yzers.cnch***col.cn5www.ch***col.cnait***lyzers.com.cn6www.ait***zers.com.cnwww.anv***larm.com.cn7bj***f.com.cnwww.bj***f.com.cn8delta-t***ik.com.cnwww.delta-te***ik.com.cn9j***x.com.cnwww.j***x.com.cn10www.t***ts.com.cnwon***models.com.cn(2)溯源邮箱从接收/发送邮件账户的角度,发送邮件和接收邮件的邮箱账户是同一个:qq18***65379@163.com,密码是rk***014。邮箱中还包含大量PC端木马程序,DNS配置SP,DNS批量域名生成器,跳转劫持代码等,说明该邮箱常用来接收其他木马文件:


图19 邮箱内有大量恶意软件(3)样本扩展在恒安嘉新 App全景态势与案件情报溯源挖掘平台上,通过应用名称、包名等特征关联搜索相关样本,发现平台上存在大量新型间谍木马类恶意应用,其中,该类恶意程序代码结构、包名及其类似,极有可能是同一批人开发。


5.总结新型间谍木马具有代码结构相似,变种快的特点,窃取用户手机号码、通信录、通话录音、短信等个人隐私信息,最终盗取用户互联网账户的资金,危害极大,同时可能是某地下灰黑产组织针对韩国银行持续性攻击,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用。

  1. 安全从自身做起,建议用户在下载软件时,到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
  2. 很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招,运营商需要加强对伪基站的监控打击力度,减少遭受伪基站干扰的几率;
  3. 各大银行、各支付平台需要加强对各自支付转账渠道的监管,完善对用户资金转移等敏感操作的风控机制,防止被不法分子利用窃取用户网银财产;
  4. 警惕各种借贷软件的套路,不要轻易使用借贷类App。

原文链接:https://www.anquanke.com/post/id/204118



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6821400785327227396/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车开奖走势图 五福彩票计划群 大无限彩票计划群 众赢彩票计划群 乐彩网导航 235棋牌 上海快3走势图 易中彩票开户 111彩票计划群 新宝GG彩票计划群