【预留】FakeBank恶意软件利用多层混淆技术,攻击俄罗斯银行应用

admin
admin
admin
0
文章
0
评论
2024-01-11 16:28:11 4HOU_新闻 来源:ZONE.CI 全球网 0 阅读模式

研究人员近日发现一种新的银行恶意软件家族,使用了新的、进化的混淆技术来攻击俄罗斯银行。该恶意软件家族名为FakeBank,截止目前,我们发现了上千个相关的样本。收集的样本说明了恶意软件的目标不仅有俄罗斯联邦储蓄银行(Sberbank),还有Letobank这样的俄罗斯银行。同时,这些样本的名都是随机的,主要是伪装成SMS/MMS管理软件来引诱用户下载。下表是样本的名称:

图片.png

表 1. 银行恶意软件样本名(俄英文对照)

事实上,这些广告管理功能是针对受害者的。恶意软件可以拦截SMS来通过被感染者的手机银行系统来窃取资金。银行恶意软件主要在俄罗斯和其他讲俄语的国家中传播。下图是每个国家检测到恶意软件的百分比。

Figure-1Chart-Russia-banking-malware.jpg

图 1. 检测到恶意软件样本的主要国家

通过拦截短信来转账

首先,恶意应用可以控制被感染用户打开和关闭网络的权限,并连接到网络。也就是说,恶意应用可以在用户不知情的情况下发送信息给C&C服务器。同时,恶意应用会检查设备中有没有安装反病毒软件,如果检测到,恶意应用就不会执行任何的恶意行为。这是一中防止恶意应用被检测和报告的策略。

恶意应用同时会从设备中窃取信息,并上传到C&C服务器。恶意应用收集的用户敏感数据包括手机号,安装的银行应用的列表,链接的银行卡的余额,甚至含有位置信息。

Figure-1-Russian-mobile-malware.png

图 2. 抓包分析

russian-banking-malware-3.jpg

图 3. 恶意应用手机的链接到应用的卡的余额

为了确保成功收集到数据,恶意应用会阻止用户打开设置,这就可以防止恶意应用被卸载。在检测到的一些样本中发现,一些样本会从用户哪里请求admin权限,这样恶意应用就会有设备的更多访问权限。

图片.png

图 3. 恶意应用安装后的图标,应用请求权限的截图

图片.png

图 4. 一旦用户同意了恶意应用请求的权限,应用图标就会消失,恶意行为也就开始了

该恶意软件甚至可以取代系统自带的SMS。首先,恶意软件会替换默认的SMS管理程序并隐藏其图标。这样恶意应用就可以上传和分析所有收到的SMS并本地删除。这意味着所有的验证码和查询都可以被拦截和移除。同时,该恶意应用可以拨打指定的手机号,发送指定的SMS,窃取通话记录和联系人列表。

更加重要的是对设备SMS的访问可以让恶意应用从用户的银行账户中偷钱。因为用户将设备与银行帐号绑定,并且在相同的设备上接收通知。用户可以用同样的方法来重置银行账户的密码(用手机号接受验证码短信的方式)并开始转账。

FakeBank恶意软件还可以阻止用户打开真实的银行APP,预防银行卡号和手机号之前关系的任何修改。研究人员假设恶意软件开发者非常熟悉银行消息的格式和转账的流程,因为C&C服务器记录了所有支付SMS通知。

NIST不建议使用SMS作为双因子认证,手机用户服务商等应该选择其他的认证方式。

恶意payload使用多层混淆方式

该恶意软件的一个最重要的特征就是隐藏payload,恶意软件的不同行为让被感染的用户很难检测和删除它。

该恶意应用使用的混淆恶意payload的方法一共有三种,这些技术的复杂性说明了开发者使用了分层的方法来避免被检测到。

第一层混淆是shell保护方法。有一些开源的工具和服务对APK提供shell保护,但这些工具也很容易被逆向。任何人使用一个标准的内存复制方法就可以获取代码。

第二层,恶意开发者用反射来唤醒所有的系统调用。这也是常见的混淆技术,通过反射代码就变得晦涩难懂。恶意软件也加密所有的字符串,包括类名和函数。加密所有的方法一般都是标准加密方法或者简单的位操作。

Figure-3-Russian-mobile-malware.png

图 5. 反映调用系统通话的代码,也是解密前类名和方法名的基本字符串混淆

Figure-4-Russian-mobile-malware.png

图 6. 反映调用系统通话的代码,也是解密后类名和方法名的基本字符串混淆

该恶意软件使用运行时解密来寻找特定的字符串。下面的代码说明了如何通过索引定位字符串:

Figure-Russian-mobile-malware.png

Figure-5b-Russian-mobile-malware.jpg

图 7. 该函数可以隐藏恶意应用的图标

上面描述的步骤是在本地.so文件下运行,这意味着代码是很灵活的。为了解密(混淆),需要动态分析和hook。当恶意应用加载了.so文件,就会解密该文件并在内存中生成对应的字符串。

Figure-6-Russian-mobile-malware.png

图 8.恶意软件解密和生成字符串

恶意软件通过索引找到对应的字符串,并对特定的函数使用本地调用。

Figure-7-Russian-banking-malware.png

图 9. 函数再次隐藏图标,与图5一样

使用多层混淆说明了开发者有意避免恶意应用被检测到。

C&C基础设施

恶意软件注册了很多的C&C域名,许多域名是最近才注册的,而且目前还在活动中。这些C&C域名的IP地址都相同,分别是位于波兰的195.22.126.81和195.22.126.160,俄罗斯的185.110.132.0 和185.110.132.255。

C&C地址的格式为:http://[domain]/[random str]/index.php.

通过whois对C&C域名信息进行查询,发现这些域名大多数注册在同一家公司名下。而该公司名下已有其他已发现的诈骗域名。

用户应该避免从非可信源下载应用,安装手机安全软件可以一定程度上解决这个问题。

IoC

图片.png

更多IOC信息见https://documents.trendmicro.com/assets/Appendix_New-Mobile-Malware-Uses-Layered-Obfuscation-and-Targets-Russian-Banks-2.pdf

- 4HOU.COM
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0