freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Google Play上发现的银行木马可窃取受害者的银行账户
2018-10-23 11:00:33

1.png

根据捷克警方近日发布的官方声明,捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。

不过幸运的是,警方已经从布拉格的一处自动取款机监控探头那里获取到了犯罪分子的面部照片(大兄弟,你确定你是专业的?)

2.png

据了解,这款伪装成QRecorder的恶意软件是一款Android端银行木马,并且可从Google Play上直接下载安装,目前该恶意软件的装机量已经超过了10000台。目标设备感染了”QRecorder”之后,恶意软件会诱骗用户输入自己的银行账号凭证,并将这些数据发送给攻击者。值得一提的是,该恶意软件可以绕过基于SMS短信的双因素验证机制!

分析数据表明,这款恶意软件主要针对的是德国、波兰和捷克银行的用户。根据相关银行发布的声明,目前已有两名受害者将事件上报给了银行,这两名客户的财产损失总金额超过了10900欧元。

恶意软件分析

这款木马伪装成了一款名叫QRecorder的App,这款App原本是一款语音通话录音工具:

3.png

启动之后,它会提示用户安装其他的应用程序来完善自己的功能(或提示安装其他应用来保证自己的正常运行)。当然了,安装了所谓的“其他应用”之后,用户将感染木马病毒。

4.png

接下来,这款App会正常运行,不过它会在后台等待攻击者发送过来的控制命令。

根据研究人员的分析结果,这些控制命令会在目标用户感染了恶意软件的24小时之内送达。

攻击者在与受感染设备进行通信时使用的是Firebase消息,攻击者首先会询问目标设备是否安装了目标银行App。如果安装了,他会给目标设备发送一条包含了Payload和解密密钥的下载链接,其中Payload采用了AES加密。在下载Payload之前,他会请求用户激活辅助服务,并利用这种权限来自动下载、安装和运行恶意Payload。当Payload下载成功之后,它会尝试触发合法银行App运行。一旦运行后,恶意软件会创建一个界面外观跟合法银行App类似的页面覆盖层,当用户在这个覆盖层页面输入了自己的凭证之后,攻击者也就获取到了“一切”。

感染演示视频

下面给大家提供的是一个真实的感染案例:

根据研究人员对恶意软件代码的分析,我们可以断定该恶意活动的主要目标是德国、波兰和捷克银行。针对不同银行的App,恶意软件会创建不同的具有针对性的Payload。不过,研究人员目前还无法获取到解密密钥并识别所有的目标。

5.png

入侵威胁指标IoC

6.png

*参考来源:lukasstefanko,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

# 木马 # Google Play
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者