“BankThief”- 针对波兰和捷克的新型银行垂钓攻击

颁布功夫 2019-03-06

1、概述

2019年2月中旬，宝运莱官方网站ADLab发现了一款全新的Android银行垂钓木马，该木马将自身假装成“Google Play”利用（见图1），利用系统辅助服务职能监控习染设备，以便在合法的银行APP运行时，启用对应的伪造好的银行垂钓界面将其覆盖掉，来窃取受害用户的银行登录凭证。这次攻击的指标银行默认蕴含蕴含花旗银行在内的三十多家银行（见图2），因而我们将之定名为“BankThief”。“BankThief”的存在和传布无疑对这数十银行客户的财富安全组成了严沉的威胁。

图1 “BankThief”将自身假装成“Google Play”

图2 指标银行的logo

“BankThief”会凭据习染设备本地说话来配置自身显示说话，配置说话蕴含捷克语和波兰语，并且“BankThief”链接的垂钓页面服务器上配置有针对波兰和捷克的假装银行垂钓页面，因而我们揣摩“BankThief”的重要攻击指标国度为波兰和捷克。该木马的证书署名肇始功夫是2019年2月13日，存放恶意垂钓页面的服务器域名为“anlixes.at”，从该域名的解析纪录来看，该域名重要活跃功夫为2019年1月28日至2月21日。据此可揣度，“BankThief”开发和传布的功夫应该在2019年1月底到2月初这个功夫段。

宝运莱官方网站ADLab钻研人员对比了2018年9月LUKAS STEFANKO（ESET安全钻研员）披露的一款银行木马（MD5 = 03720d4e7ae807f7c8ce56e772c19bcc）后发现，“BankThief”与其有一些类似之处。好比，两款银行木马的攻击指标都蕴含捷克和波兰；都是通过假装的垂钓页面覆盖掉指标银行合法的界面进行垂钓攻击；都使用了Google Firebase云新闻传递服务进行节造号令的下发。不外，他们的整体设计和代码实现机造却齐全分歧，也没有很强证据批注这两款银行木马存在关联性，因而我们以为“BankThief”是一款全新的木马。

值妥贴心的是，“BankThief”是使用Google Firebase云新闻传递服务来节造习染设备的。该服务初次被用于恶意攻击要追忆到高级间谍软件“Skygofree”， 2018年3月宝运莱官方网站ADLab对已其进行具体分析，并颁布深度分析汇报《首款利用Firebase云新闻传递机造的高级间谍软件》。攻击者将恶意号令通过Firebase云新闻服务进行传送，一方面不用耗费精力和资源去配置C&C服务器；另一方面，攻击者将恶意号令暗藏在安全的Firebase通讯隧路中，预防了攻击流量被网络安全设备措置，攻击性越发荫蔽。Google Firebase云新闻传递服务这次又被“BankThief”用来进行恶意攻击，能够预感，越来越多的恶意利用将会使用Firebase云新闻服务来执行攻击。

2、木马行为简介

“BankThief”习染指标设备后，首先通过无阻碍服务（无阻碍服务是辅助身段不便或者操作不矫捷的人来操作手机利用的，其能够被用于监控手机当前活动APP界面，实现对指标界面自动化操作。）监控习染设备。当监控到指标银行利用被打开时，银行木马会启动对应的假装好的垂钓页面覆盖掉真实的银行APP界面，在受害用户没有觉察的情况下窃取其银行登录凭证，“BankThief”会进一步将自身设置成默认短信利用来拦截银行短信，这样就绕过了基于SMS短信的双成分验证机造。其次，“BankThief重要利用Google Firebase 云新闻传递服务（Google Firebase 云新闻传递服务是Google提供的能援手开发者急剧写出Web端和移动端利用通讯的一种服务）来对习染设备进行远控，蕴含清空用户数据、卸载指定利用等恶意操作以及劫持蕴含花旗银行在内的数十家银行APP利用的恶意行为。“BankThief”的攻击示意图见图3。

图3 “BankThief”攻击示意图

3、职能分析

“BankThief”的代码中，大量的字符串被加密存储（如图4），只有在其运行的过程中，在必要时才会使用自界说的解密算法进行解密操作（图5只列出其中一个解密算法），并且从多个“ALLATORIXDEMO”定名的函数名来看，“BankThief”使用了混合器“Allatori”的Demo版来�；ぷ陨�，这无疑增长了钻研人员分析的难度和工作量。

图4 被加密存储的字符串

图5 其中的一个字符串解密函数

“BankThief”利用无阻碍服务对习染设备进行监控，执行垂钓攻击。木马将自身假装成“Google Service”服务，在诱使受害者开启对应的无阻碍服务权限成功后，会利用无阻碍服务监控习染设备的运行。当指标银行APP启动时，它会启动伪造好的对应垂钓界面覆盖掉合法的银行APP界面，窃取受害用户的银行凭证。

此表，“BankThief”还试图阻止用户取缔其治理员权限和限度三星系统治理当用的正常运行等伎俩来保险自身的安全。

3.1 诱使用户开启恶意服务

“BankThief”诱使受害用户开启无阻碍服务界面下假装成“Google Service”的恶意服务，并且还暗藏了自身图标（见图6），预防受害用户觉察到异常。

图6假装成“Google Service”服务

在诱导受害用户操作的过程中，利用会跳转到无阻碍设置界面，诱导受害用户开启“Google Service”服务。“BankThief”会凭据受害用户手机系统来选择使用捷克语还是波兰语提醒（很显然，攻击者重要攻击的指标为波兰和捷克），若是用户没有开启该权限，会一向提醒，直到受害用户开启为止（见图7）。

图7 诱导受害用户开启“Google Service”

3.2 利用无阻碍服务监控设备

“BankThief”利用无阻碍服务监控习染设备界面，来窃取受害用户银行登录凭证。当习染设备运行指标银行APP时，木马就会打开其设置好的对应垂钓界面，覆盖在合法的银行APP上面，神不知鬼不觉地拿走受害用户的银行登录凭证（见图8）。

图8 窃取受害用户银行登录凭证

3.3 要求设备治理员权限并预防取缔

“BankThief”运行后，不只会将自身图标暗藏掉（见上图6），并且会激活其设备治理员权限（见图9）。这样，通常用户很难觉察并卸载掉它，从而达到持久驻留在受害用户设备中的主张。

图9 诱导受害用户设置自身为治理员权限

此表，“BankThief”还利用无阻碍服务监控习染设备，一旦发现受害用户试图取缔治理员权限就强造返回，依附这种地痞行为，阻止自身治理员权限被取缔（见图10）。

图10 阻止自身治理员权限被取缔

3.4 阻止三星利用“Device Maintenance”

“BankThief”一旦发现习染设备运行三星设备守护软件“Device Maintenance”，就强造返回桌面。“Device Maintenance”是三星研发的针对Android手机守护和优化的一款系统治理当用，能够对一些地痞和耗电的APP发出忠告并且会自动关关不用要的后盾法式，“BankThief”或许是预防自身被该款利用检测和卸载才使用此地痞伎俩阻止其被打开（见图11）。“BankThief”的这一职能或许和三星手机在波兰当先的市场份额有很大关系。

图11 阻止三星利用“Device Maintenance”

4、号令节造分析

“BankThief”使用了Google Firebase云新闻传递服务来进行节造号令的下发。攻击者利用Firebase云新闻传递节造号令和http和谈回传执行了局到自己节造的恶意服务器“anlixes.at”来形成一个节造回路。木马一旦发现用户启动合法的银行利用，方便用劫持职能将自身伪造的垂钓页面覆盖在合法的银行利用上面。当用户在伪造的界面上输入银行账号、密码等登录信息后，登陆凭证便会被上传到恶意服务器“anlixes.at”上。

4.1 Firebase云新闻传递机造利用

Firebase云新闻传递（Firebase Cloud Messaging，简称FCM），也称Firebase云信息传递，前身为Google云新闻传递（GCM），是一项针对Android、iOS以及网络利用法式的新闻与通知的跨平台解决规划，目前可免费使用�？⒄咧槐匾趆ttps://firebase.google.com/上，登录自己的Google账户，经过单一的设置操作，便能够将Firebase服务配置到自己的移动APP中。实现移动端的APP设置后，开发者就能够在自己的Firebase网页当选择对应的APP，并在网页上编纂发送自界说的Message�？突Ф嗽蚧嵋訬otifications的方式接管这些Message。

攻击者利用Firebase实时云服务发送恶意号令（分析后的号令和寓意见表1），木马掌管对这些恶意号令进行接管和解析执行（见图12），实现恶意工作。

表1 节造号令和寓意

图12 木马对恶意号令的接管和解析

从表1我们能够看到，节造号令分为两大部门，第一部门蕴含前9个号令，别离暗示“木顿时线、将自身设置为默认短信利用、清空用户数据、将指定号码设置成呼叫转移号码”等。第二部门蕴含后面的30个号令，当木马接管到Firebase传来的指标银行的APP包名字符串后，木马就打开对应的配置好的http垂钓假装界面，来窃取受害用户的银行登录凭证。

4.1.1 木顿时线

木马收到“online”指令后，将自身是否激活治理员权限、是否开启无阻碍服务等信息写入配置文件后，发奉上线包到远程服务器（见图13）。

图13 发奉上线包

4.1.2 将自身设置为默认短信利用

“lock”号令会疏导用户设置木马自身为系统短信利用，收受短折服务，以获得对短信数据库的操作权限（见图14）。Android 4.4及其以来，只能设置一个默认的SMS短信APP，当短信达到后会首先通知设置的默认APP，并且只有该APP对短信数据库有批改的权限和短信的发送权限。设置成功后，木马就劫持了系统短信，破解了基于短信的SMS短信双成分验证机造。

图14 设置自身为默认短信利用

4.1.3 清空用户数据

当木马接管到“clear”指令，就清空用户数据（见图15）。

图15 清空用户数据

4.1.4 设置呼叫转移号码

“21”号令是设置习染设备的呼叫转移号码为攻击者远程指定的手机号码（见图16）。攻击者首先打开习染设备的拨号法式，而后通过输入“*21*手机号码#”对习染设备设置呼叫转移。这样，攻击者就能够成功拦截受害用户的手机来电。

图16 设置呼叫转移号码

4.1.5 设置配置文件“addm”为on

当木马收到“addm”号令后，就会设置配置文件“addm”项为on，用于激活自身治理员权限（见图17）。木马激活自身治理员权限后，能够预防自身被受害用户等闲卸载掉。

图17 设置配置文件“addm”项为 on

4.1.6 解密指定文件

图18中，“lckscr”指令主张是解密“asset”目录下加密文件到自身利用目录下的“/location/”蹊径下，凭据指令“dellckscr”，猜测解密后的文件名为“www.html”。

图18 解密指定文件到指定蹊径

4.1.7 加载指定页面

“dellckscr”指令用于加载自身利用目录下地位为“/location/www.html”的页面（见图19），不外我们在分析该木马时，并未发现此目录和相应文件，主张未知。

图19 加载指定页面

4.1.8 卸载指定利用

当接管到“src”指令时，木马会打开卸载APP界面，卸载掉攻击者指定的APP（见图20）。

图20 卸载指定利用

4.1.9 将指标手机装置的所有利用列表发送给恶意服务器

当收到的新闻为“alpkg”时，木马就遍历系统利用名称，将网络的习染设备装置的利用列表发送给攻击者节造的远程服务器（见图21）。攻击者知路指标设备装置有哪些利用后，尤其是银行利用，就能够针对指标银行来进行攻击。

图21 发送利用列表到远程服务器

4.1.10 启动垂钓页面

当木马接管到Firebase传来的指标银行的APP包名字符串后，木马就打开对应的配置好的http垂钓假装界面，来窃取受害用户的银行登录凭证。从表1中我们能够看到在垂钓服务器蹊径“http://anlixes.at/cz*”和“http://anlixes.at/pl*”下，至少配置有26个假装的垂钓页面在期待受害用户中计，其钟装http://anlixes.at/cz*」仉对捷克、“http://anlixes.at/pl*」仉对波兰”。我们别离列出其中的两个页面（图22和图23）。

图22 针对捷克用户的假装垂钓页面

图23 针对波兰用户的假装垂钓页面

4.2 监控数据返回

木马在执行号令后，会将执行了局或者对习染设备的监控数据回传给自己节造的恶意服务器（见图24），从图中的代码我们能够看到木马是将习染机的监控行为数据赋值给p参数后，发送到恶意服务器地址“http://anlixes.at/api/log”。图25是我们抓包的一个了局，从图中能够看到，我们试图卸载该恶意木马时，木马发送给恶意服务器的监控数据。

图24 回传指令执行的了局给恶意服务器

图25 回传数据抓包的了局

5、总结及建议

“BankThief”从2019年1月起头活跃，重要的攻击指标为波兰和捷克，不排除后期对其他国度或地域尝试攻击的可能性。 “BankThief”利用无阻碍服务监控习染设备，劫持合法银行利用来对受害用户进行垂钓攻击，再结合其截获到的银行验证短信，窃取受害用户财帛。“BankThief”还使用了代码混合和字符串加密，增长了安全钻研人员分析的难度。同时，在攻击过程中，攻击者将恶意攻击流量暗藏在Google Firebase云新闻隧路中，以预防攻击流量被网络设备措置，进一步加大了攻击的荫蔽性。

宝运莱官方网站ADLab建议宽大用户尽量从官网下载手机利用，尤其是涉及到金钱的银行类利用，以免被犯法分子利用，威胁到您的财富安全，给您造成不用要的麻烦和损失。宝运莱官方网站ADLab建议宽大用户尽量从官网下载手机利用，尤其是涉及到金钱的银行类利用，以免被犯法分子利用，威胁到您的财富安全，给您造成不用要的麻烦和损失。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

“BankThief”- 针对波兰和捷克的新型银行垂钓攻击

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线