警惕一大波银行类木马正在靠近，新型BankBot木马解析

背景

来自安全公司Dr.Web的研究人员说，最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期，阿里聚安全检测到大量新型BankBot家族木马，木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用，可劫持全球至少50家大型银行手机用户。

特点：新型BankBot木马配置灵活，执行开关受服务端控制；根据C&C端下发的指令进行远程控制；窃取用户隐私，对全球多家金融类app劫持，钓鱼登录界面，进而截获、捕捉用户输入数据，最终非法入侵用户互联网账户系统。

木马运行流程如下：

是否触发恶意代码

BankBot木马启动后会请求C&C端，判断是否执行恶意代码，若服务端返回非“0”则执行恶意代码。

该木马直接隐藏图标，并启动核心服务ge45g45gsdfsadfg，该服务使用CUP唤醒锁可常驻后台。

核心服务

控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁，使核心服务常驻后台。恶意行为如下：

强制激活设备管理；
上传当前木马运行环境，包括：设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截，用户安装的银行类app名；
服务端下发指令实施远程控制；
启动劫持服务

下图上传木马运行环境

上传设备状态

上传已安装银行app

上传数据由自身加密算法编码，解密结果：3592500503912**:1:1:0、3592500503912**:(中国联通)+86186670157**:4.4.2:cn:|AlfaB_RU|

|paypal||UBank|:Nexus 5 (hammerhead):Demom.上传数据告诉控制端当前设备ID、木马已拿到管理激活、设备存在锁屏密码、还未配置短信拦截、用户已安装AlfaB、paypal、UBank银行app。

随后C&C端返回控制指令，指令解析如下。

劫持分析

当受害人打开合法银行app时，该木马监控到此行为，加载伪装的银行页面 ,并覆盖真实银行app界面。对于界面劫持攻击，最重要的一步就是诱骗受害者进入他们伪造的登录界面，因此，假冒的银行登录窗口得与原生窗口非常相似，让用户很难区分真伪。

另外的一些钓鱼界面。

受害者的设备ID是与木马控制端交互的标示号，并根据受害人设备上的银行app在控制端准备伪造的登录界面。全世界各大金融app都无幸免，包括知名的Paypal、American Express、英国巴克莱银行、苏格兰皇家银行等：

at.bawag.mbanking

at.easybank.mbanking

at.spardat.netbanking

at.volksbank.volksbankmobile

com.rbs.mobile.android.rbs

com.isis_papyrus.raiffeisen_pay_eyewdg

au.com.bankwest.mobile

au.com.ingdirect.android

au.com.nab.mobile

com.commbank.netbank

org.banksa.bank

org.stgeorge.bank

org.westpac.bank

com.db.mm.deutschebank

com.barclays.android.barclaysmobilebanking

com.starfinanz.mobile.android.dkbpushtan

com.starfinanz.smob.android.sbanking

com.starfinanz.smob.android.sfinanzstatus

de.adesso.mobile.android.gad

de.comdirect.android

de.commerzbanking.mobil

de.consorsbank

de.dkb.portalapp

de.fiducia.smartphone.android.banking.vr

de.ing_diba.kontostand

de.postbank.finanzassistent

mobile.santander.de

com.IngDirectAndroid

com.arkea.android.application.cmb

com.arkea.android.application.cmso2

com.boursorama.android.clients

com.cacf.MonCACF

com.caisseepargne.android.mobilebanking

com.cic_prod.bad

com.cm_prod.bad

com.fullsix.android.labanquepostale.accountaccess

com.groupama.toujoursla

com.lbp.peps

com.macif.mobile.application.android

com.ocito.cdn.activity.creditdunord

fr.axa.monaxa

fr.banquepopulaire.cyberplus

fr.banquepopulaire.cyberplus.pro

fr.creditagricole.androidapp

fr.lcl.android.customerarea

fr.lemonway.groupama

mobi.societegenerale.mobile.lappli

net.bnpparibas.mescomptes

com.comarch.mobile

com.getingroup.mobilebanking

com.konylabs.cbplpat

eu.eleader.mobilebanking.pekao

eu.eleader.mobilebanking.raiffeisen

pl.bzwbk.bzwbk24

pl.bzwbk.mobile.tab.bzwbk24

pl.eurobank

pl.ing.ingmobile

pl.mbank

pl.pkobp.iko

wit.android.bcpBankingApp.millenniumPL

com.akbank.android.apps.akbank_direkt

com.finansbank.mobile.cepsube

com.garanti.cepsubesi

com.pozitron.iscep

com.tmobtech.halkbank

com.vakifbank.mobile

com.ykb.android

com.ziraat.ziraatmobil

ca.bnc.android

com.americanexpress.android.acctsvcs.us

com.chase.sig.android

com.cibc.android.mobi

com.citi.citimobile

com.clairmail.fth

com.coinbase.android

com.creditkarma.mobile

com.discoverfinancial.mobile

com.fi9228.godough

com.firstpremier.mypremiercreditcard

com.infonow.bofa

com.jpm.sig.android

com.moneybookers.skrillpayments

com.paybybank.westernunion

com.paypal.android.p2pmobile

com.pnc.ecommerce.mobile

com.suntrust.mobilebanking

com.tdbank

com.td

com.transferwise.android

com.unionbank.ecommerce.mobile.android

com.usaa.mobile.android.usaa

com.usb.cps.axol.usbc

com.wf.wellsfargomobile

me.doubledutch.rbccapitalmarkets

劫持sdk<=22设备

下图通过读取android系统下proc文件夹的相关信息，获取sdk>22 设备的顶层应用包名。

获取sdk>22顶层包名

如果当前运行应用与待劫持的银行应用匹配，恶意代码将联系C&C服务端来返回仿冒的银行登录界面，并利用webview加载。如打开银行应用com.garenti.cepsubesi，木马会发出packageName＋deviceId的请求来接受钓鱼页面。此恶意软件钓鱼页面都以HTML来布局，可推测该黑产由网站钓鱼转型移动app劫持钓鱼。