了解新型银行类恶意软件——FakeSpy

lucywang 移动安全 2018年6月28日发布

导语:最近,趋势科技的研究人员发现,有一个名为FakeSpy的恶意软件不但把自己伪装成合法的应用,而且还应用了SmiShing技术,将潜在受害者重定向到恶意网页。

伪装成各种合法的应用,然后再通过Google Play或其他App Store将自己传播出去,是目前许多高级攻击经常采用的手段。之所以这种方法屡试不爽,就是因为受害者往往认为所有出现在Google Play或其他App Store上的应用,都是经过安全检查且值得信赖的。黑客就是利用这个心理,伪装成合法的游戏、视频等程序,来窃取信息或传播恶意有效载荷。

其中比较常见的有CPUMINER(挖矿软件),BankBot(银行持木马)和MilkyDoor(Milkydoor是2017年黑客开发的一款复杂程度较高的恶意软件,能将任何受感染的Android手机变成黑客工具)。不过最近,趋势科技的研究人员发现,有一个恶意软件不但把自己伪装成合法的应用,而且还应用了SmiShing技术,将潜在受害者重定向到恶意网页。

所谓的SmiShing,它是SMS和网络钓鱼(phishing)术语的组合,是指用类似于网络钓鱼的社会工程学技术实施犯罪行为的一种形式,利用SMiShing技术,移动用户会在短信或聊天应用程序中接收到钓鱼网站的链接,攻击者会通过这些短信来引诱用户点击链接并输入其个人信息。

目前,趋势科技的研究人员已经将该恶意软件命名为FakeSpy(趋势科技的分析样本为ANDROIDOS_FAKESPY.HRX),FakeSpy就是通过短信来发起所有攻击的。

FakeSpy能够窃取受害者的短信,以及那些存储在受感染设备中的账户信息,联系人和通话记录。 另外,FakeSpy也可以作为银行类恶意软件(ANDROIDOS_LOADGFISH.HRX),窃取用户的登录凭证。虽然目前这种恶意软件仅限于感染日语和韩语地区的用户,但鉴于FakeSpy开发者的积极迭代和开发技术,我相信FakeSpy的攻击范围扩大化只是时间的问题。

FakeSpy的攻击过程

如下图所示,对于潜在的日语受害者来说,他们首先会收到一封伪装成日本物流运输公司的移动短信通知,敦促收件人点击短信中的链接进行信息确认。如果用户误点击,则该链接就会将受害者重定向到恶意网页,此时,不管用户点击什么内容,网页上都会出现提示用户下载Android应用程序包(APK)的信息。该网页还有一个用日语编写的下载指南,介绍如何下载和安装该应用程序。

1.png

包含恶意软件链接的钓鱼短信

研究人员通过进一步分析表明,该攻击也同时针对韩语用户,且自2017年10月起就一直在活跃。对于韩国用户来说,FakeSpy会伪装成多家当地消费金融服务公司的应用程序,来盗取用户信息。而到了日本用户这里,它将伪装成交通、物流、快递和电子商务公司、移动通信服务和服装零售商的应用程序。

360截图16300504575078.jpg

带有下载和安装应用程序说明的恶意网页

33.jpg

韩语(左)和日语(中、右)恶意应用程序的屏幕截图

攻击技术分析

FakeSpy的一些关键配置,比如命令和控制(C&C)服务器等,都会被加密以逃避检测。一旦启动,FakeSpy就将开始监控受影响设备收到的各种短信。这些短信被FakeSpy盗取后,会被上传到C&C服务器。为了通过JavaScript发送命令,FakeSpy还会滥用JavaScript桥接(JavaScriptInterface),通过从远程网站下载并运行JavaScript来调用应用程序的内部函数。FakeSpy的命令包括向被攻击的设备添加联系人、将操作声音调为静音、重置设备、窃取存储的短信、设备信息、更新自身的配置。

figure-4.png

FakeSpy的加密配置

figure-5-1.png

figure-5-2.png

FakeSpy如何将被盗文本消息上传到C&C服务器

figure-6.png

FakeSpy如何向C&C服务器传送盗窃来的短信内容

figure-7.png

攻击者发送的更新FakeSpy配置的命令

FakeSpy是如何成为银行类恶意软件的?

除了盗取受害者的信息之外,FakeSpy还可以对手机上安装的相关银行类应用程序进行检查。如果检查到的程序中有FakeSpy攻击者感兴趣的银行类应用,那么攻击者就会提示用户,对这些银行应用进行升级或重新安装,以便趁机将自己的恶意载荷植入其中,这样受害者的用户界面其实就是一个钓鱼页面。当用户点击钓鱼页面时,攻击者就会要求用户输入登录凭证,一旦确认登录完成,则凭证信息也会被发送到C&C服务器。而如果银用户没有及时输入凭证,则攻击者就会提示用户,他们的账户将会很快被锁定。除了网上银行应用外,FakeSpy还会检查各种数字货币交易程序和电子商务程序。

figure-8.png

FakeSpy检查合法的与银行业务相关的应用程序并用假版本替换它们的代码

figure-9.png

恶意应用的UI,攻击者利用此页面开始窃取登录凭证

figure-10-1.png

figure-10-2.png

恶意应用程序如何窃取银行凭证的代码片段

逃避检测的过程

FakeSpy的开发者使用了不同的方法来隐藏和更新C&C服务器,比如通过利用社交媒体,将IP地址写入他们定期修改的Twitter配置文件中。通过调查,研究人员发现,这个IP地址是以^^开头并以$$结尾的。当FakeSpy启动时,它将访问Twitter页面并解析其中的内容以检索C&CIP地址。 FakeSpy的开发者也以类似的方式,利用了各种论坛和开源动态域名工具。不过,这还不够,为了能进一步规避检测,配置到应用程序中的C&C服务器地址每天至少被更新一次。同样值得注意的是,利用FakeSpy发起攻击的案例已经非常的多了,这可以从他们在论坛上的攻击活动数量以及利用他们注册的相关URL来托管相应的恶意软件中看出。

figure-11.png

FakeSpy利用访问的Twitter页面获取C&C IP地址

figure-12-1.jpg

figure-12-2.png

FakeSpy利用的论坛(顶部)和动态域名工具(底部)来隐藏C&C服务器

缓解措施

虽然SMiShing不是什么新型的攻击方式,但是通过社交工程,来引诱或迫使受害者泄漏个人或公司数据,或将他们重定向至恶意软件托管网站,总是防不胜防的。所以用户应该在点击任何信息和链接之前,都应进行思考。另外,即使从官方应用商店下载的应用,也要定期更新,对设备的操作系统也要及时升级。这么做都是为了检查网络钓鱼的蛛丝马迹,例如语法错误或用于欺骗合法URL的特定字符,更重要的是,要警惕那些陌生的且要求你作出某种及时操作(例如点击其中的链接)的消息。详细的IoCs,请点此

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/fakespy-android-information-stealing-malware-targets-japanese-and-korean-speaking-users/如若转载,请注明原文地址: http://www.4hou.com/mobile/12193.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论