1. 简介
2020年5月左右,ThreatFabric分析师发现了一种新型的银行恶意软件,称为BlackRock。经过调查,发现大量代码继承自Xerxes银行恶意软件,Xerxes本身就是LokiBotAndroid银行木马的变种。Xerxes恶意软件的源代码在2019年5月左右公开,导致任何不法组织都可以利用。
技术方面,BlackRock的目标包含大量社交、银行和交通等两百多款应用程序。到目前为止,还未在其他银行木马的目标程序中看到此类情况。因此,BlackRock背后的操作者正试图利用流行应用进行传播。
2. LokiBot恶意软件家族
由于BlackRock基于Xerxes银行木马,因此它是LokiBot衍生产品的一部分,具有多种变体,如下所示。
图1 LokiBot恶意软件家族
3. 程序详细信息:
| 程序名称 | Google Update | ||
| 程序包名 | fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug | ||
| 程序MD5 | D576F944E1AD344F29902FE75BF25EAF | ||
| 签名信息 | [email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US | ||
| 签名MD5 | E89B158E4BCF988EBD09EB83F5378E87 | ||
| 打包时间 | 2020年06月23日16时24分30秒 | ||
| 图标 |  |
4. 技术原理分析
4.1 程序运行行为
图2 BlackRock间谍木马危害
首次启动恶意软件时,程序隐藏图标,使用户无法察觉,第二步,它要求受害者提供“无障碍服务”特权。如以下屏幕截图所示,该木马最主要的特征就是仿冒Google更新:
一旦用户授予请求的“无障碍服务”特权,BlackRock便会为其自身授予其他权限。这些额外的权限是程序能够正常运行而无需与受害者进行进一步交互所必需的。完成后,该恶意程序便可以正常运行,并从C2服务器接收命令并执行恶意攻击。
程序主要功能:一是根据远程服务器下发的指令进行发送指定短信、给通讯录联系人发送指定短信、将程序设定为默认设备管理器、启动指定应用、记录键盘输入信息并发送到C2、将所有通知信息发送到C2、激活设备管理器等行为。二是下载指定应用的仿冒程序,并监控两百多款指定程序,当用户启动该应用时劫持对应程序界面,对于社交、约会类主要是劫持用户登录界面;而对于银行类则会劫持用户输入的银行卡、身份证、姓名、手机号、验证码等相关信息。
4.2 程序运行后释放恶意子包
图3 释放恶意子包
4.3 程序初始化准备工作
主要是设定屏幕定时唤醒,判断并开启无障碍功能,并上传固件信息准备请求远控指令,然后隐藏图标,致使用户无法察觉。
图4 木马初始化
根据系统版本设定唤醒屏幕方式时间:
图5 根据系统版本设定唤醒屏幕时间
判断并引导用户开启“无障碍服务”:
图6 引导用户打开“无障碍服务”
4.4 上传固件信息并准备接收远控指令
初始化获取的固件信息上传到C2并准备接收远控指令:
图7 上传固件信息并请求远控指令
信息拼接加密并上传:
URL:http://176.***.**.127:8080/gate.php。
图8 用户信息加密
采用AES加密:
图9 AES加密
上传数据抓包:
图10 上传用户固件信息请求指令数据包
服务器地址以及要监控的应用程序列表:
图10 服务器地址、预监控应用包名
4.5 远控指令解析
表1-1 远控指令详细列表:
| 一级指令 | 二级指令 | 三级操作指令 | 描述 | ||||
| action | params | Send_SMS | 发送短信 | ||||
| Flood_SMS | 每5秒钟将指定内容发送到指定号码(类似于短信轰炸) | ||||||
| Download_SMS | 将短信内容发送到C2 | ||||||
| Spam_on_contacts | 向通讯录每个联系人发送指定短信 | ||||||
| Change_SMS_Manager | 将恶意程序设置为默认的短息管理器 | ||||||
| Run_App | 启动特定的应用 | ||||||
| StartKeyLogs | 记录目标屏幕上显示的文本内容并将其发送到C2 | ||||||
| StopKeyLogs | 停止记录键盘事件,并删除对应文件 | ||||||
| StartPush | 将所有通知内容发送到C2 | ||||||
| StopPush | 停止通知内容的发送 | ||||||
| Hide_Screen_Lock | 将设备保持在主屏幕上(HOME作用) | ||||||
| Unlock_Hide_Screen | 从主屏幕解锁设备 | ||||||
| Admin | 激活设备管理器 | ||||||
| Profile | 为设备上的恶意软件添加设备管理配置文件 | ||||||
| Start_clean_Push | 开始清理通知推送 | ||||||
| Stop_clean_Push | 关闭清理通知推送 |
图11 解析远控指令
4.6 部分指令详细代码
Flood_SMS:每5秒钟将指定内容发送到指定号码(类似于短信轰炸)。
图13 每隔5秒发送指定短信
Download_SMS:将短信内容发送到C2:
图14 将用户短信内容发送到C2
Spam_on_contacts:向通讯录每个联系人发送指定短信:
图15 给通讯录每个人发送指定短信
StartKeyLogs:记录目标屏幕上显示的文本内容并将其发送到C2:
图16 监听并记录键盘输入日志上传
4.7 指定应用监控行为
首先遍历用户手机上安装的应用程序,和代码列表中的应用程序包名比对,如果存在则下载对应仿冒程序包。
银行交通类:
| 包名 | 应用名 | 中文名称 |
| jp.co.rakuten_bank.rakutenbank | 楽天銀行 -個人のお客様向けアプリ | 楽天銀行 |
| com.ubercab | Uber – Request a ride | 优步 |
| com.amazon.sellermobile.android | Amazon Seller | 亚马逊卖家 |
| com.amazon.mShop.android.shopping | Amazon Shopping | 亚马逊购物 |
| org.westpac.bank | Westpac Mobile Banking | 西太平洋手机银行 |
| com.anz.android | ANZ Mobile Taiwan | 台湾澳新银行 |
| com.phyder.engage | RBS | 苏格兰皇家银行 |
| com.rbs.mobile.android.rbs | Royal Bank | 苏格兰皇家手机银行 |
| com.commbank.netbank | CommBank | 商业银行 |
| com.santander.bpi | Santander Private Banking | 桑坦德私人银行 |
| mobile.santander.de | Santander Mobile Banking | 桑坦德手机银行 |
| com.transferwise.android | TransferWise | 明智汇款 |
| com.infonow.bofa | Bank of America Mobile Banking | 美国银行手机银行 |
| com.lloydsbank.businessmobile | Lloyds Bank Business | 劳埃德银行业务移动银行 |
| ma.gbp.pocketbank | Pocket Bank | 口袋银行 |
| com.rbc.mobile.android | RBC Mobile | 加拿大皇家银行 |
| com.htsu.hsbcpersonalbanking | HSBC Mobile Banking | 汇丰手机银行 |
| com.abnamro.nl.mobile.payments | ABN AMRO Mobiel Bankieren | 荷兰银行Mobiel Bankieren |
| au.com.nab.mobile | NAB Mobile Banking | 国民银行手机银行 |
| com.wf.wellsfargomobile | Wells Fargo Mobile | 富国银行手机 |
| com.cm_prod.bad | Crédit Mutuel | 法国信贷银行 |
| com.clairmail.fth | Fifth Third Mobile Banking | 第五第三手机银行 |
| com.db.pwcc.dbmobile | Deutsche Bank Mobile | 德意志手机银行 |
| com.bitfinex.mobileapp | Bitfinex | 比特币 |
| com.anzspot.mobile | ANZ Spot | 澳新银行现货 |
| com.rbs.mobile.android.ubr | Ulster Bank RI Mobile Banking | 阿尔斯特银行RI移动银行 |
| com.yahoo.mobile.client.android.mail | Yahoo Mail – Organized Email | Yahoo Mail |
| com.microsoft.office.outlook | Microsoft Outlook | Microsoft Outlook |
| net.bnpparibas.mescomptes | Mes Comptes BNP Paribas | Mes Comptes法国巴黎银行 |
| com.mail.mobile.android.mail | mail.com mail | mail.com |
| au.com.ingdirect.android | ING Australia Banking | ING澳大利亚银行 |
| com.google.android.gms | Google Play services | Google Play服务 |
| com.google.android.gm | Gmail | Gmail |
| … | … | … |
社交娱乐类:
| 包名 | 应用名 | 中文名称 |
| com.tencent.mm | 微信 | |
| com.blued.international | Blued – LIVE Gay Dating | Blued-直播同性恋约会,聊天和视频聊天 |
| com.instanza.cocovoice | Coco | Coco |
| com.facebook.katana | 脸书 | |
| com.facebook.lite | Facebook Lite | Facebook Lite |
| com.fachat.freechat | Fachat | Fachat:与在线新人视频聊天 |
| com.google.android.videos | Google Play Movies & TV | Google Play影视 |
| com.google.android.music | Google Play Music | Google Play音乐 |
| com.grindrapp.android | Grindr – Gay chat | Grindr-同性恋聊天 |
| com.google.android.talk | Hangouts | 环聊 |
| com.imo.android.imoim | imo free video | imo免费视频通话和聊天 |
| com.facebook.orca | Messenger | Messenger –免费的文字和视频聊天 |
| com.android.vending | Play Store | 应用商店 |
| com.skype.raider | Skype | Skype-免费IM和视频通话 |
| com.sgiggle.production | Tango | 探戈-现场视频广播 |
| org.telegram.messenger | Telegram | Telegram |
| com.zhiliaoapp.musically | TikTok – Make Your Day | TikTok-让您开心 |
| com.tinder | Tinder | Tinder |
| com.twitter.android | 推特 | |
| com.twitter.android.lite | Twitter Lite | Twitter Lite |
| com.viber.voip | Viber Messenger | Viber Messenger-消息,群聊和电话 |
| com.whatsapp.w4b | WhatsApp Business | WhatsApp业务 |
| com.whatsapp | WhatsApp Messenger | WhatsApp Messenger |
| com.google.android.youtube | YouTube | YouTube |
| … | … | … |
详细代码:
图21 获取匹配到的应用的仿冒程序
下载对应包名仿冒文件:
图22 下载仿冒程序
图23 下载仿冒程序保存
访问Uber时,试图弹出仿冒界面,但是下载的Uber.zip为空,所以只能在点击菜单按钮时可以看到覆盖效果,具体界面未弹出:
图24 访问Uber时被劫持
访问微信时,预下载的mm.zip也未空,因此弹出了本地存储的信用卡劫持界面:
图25 访问微信时被劫持
该界面是直接内置在本地文件中。如下:
图26 保存在本地的备用劫持界面
4.8 程序防护手段
图27 BlackRock防护手段
检测到安全软件返回主屏幕(主要是防止用户使用安全软件卸载恶意程序):
图28 安全软件匹配
具体安全软件列表:
| 包名 | 程序名 | ||
| eu.thedarken.sdm | SD Maid | ||
| com.avast.android.mobilesecurity | Avast Mobile Security | ||
| com.antivirus | AntiVirus | ||
| com.bitdefender.security | Bitdefender Security | ||
| com.eset.ems2.gp | Mobile Security | ||
| com.symantec.mobilesecurity | Norton Mobile Security | ||
| com.kms.free | Kaspersky Internet Security | ||
| com.trendmicro.tmmspersonal | Mobile Security | ||
| com.wsandroid.suite | McAfee Security | ||
| com.avira.android | Antivirus Security | ||
| com.hermes.superb.booster | Superb Cleaner | ||
| com.ghisler.android.TotalCommander | Total Commander |
点击设置中的应用按钮也返回主屏幕:
图29 判断是否点击设置-应用
5. IOCs
文件MD5:
D576F944E1AD344F29902FE75BF25EAF
AEF6FEEB7FD1AF99B5539E8D5A2B712A
36CD2EA94BCF9F9A9959DC4C1C489933
A88F8C088BD63885471C180741B13001
E2874F851E7377ABF18100899ED5E113
C2:
176.***.**.127:8080
评论