freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

安卓银行木马 Xenomorph 瞄准欧洲,装机量已超5万
2022-03-07 13:16:43
所属地 北京

2022 年 2 月,ThreatFabric 的研究人员发现了一个新的安卓银行木马 Xenomorph。它与另一个臭名昭著的银行木马 Alien 存在明显的联系,公用了部分类名和字符串。

根据遥测数据,Xenomorph 将 56 家不同的欧洲银行作为攻击目标。该恶意软件在 Google Play 上的安装量已经超过 5 万。

Xenomorph 尽管与 Alien 存在关联,但二者的功能则截然不同。可能是 Alien 的开发者转而开发了 Xenomorph 或者是能够接触到 Alien 的代码。当然,这些都是推测。

分发

近来,越来越多的攻击者开始通过 Google Play 进行恶意软件分发。

攻击者冒充应用程序 Fast Cleaner,如下所示:

image.png-139.9kB应用市场

分析确定该应用程序属于 Gymdrop Dropper。Gymdrop 是 2021 年 11 月发现的 Dropper 家族,此前也发现过用于分发 Alien 银行木马。

研究人员发现一批归属于 ExobotCompact.D的恶意软件,在过去的几周内非常活跃。

image.png-110.7kB仿冒程序

这是首次观察到 ExobotCompact.D 与 Alien.A 通过同一个 Dropper 基础设施进行分发,与此同时也发现了全新的恶意软件家族 Xenomorph。

能力

Xenomorph 的功能特性如下所示:

image.png-131.7kB功能

无障碍服务

这种技术在安卓银行木马中被广泛使用,主要使用覆盖攻击窃取凭据,结合使用短信和通知拦截记录潜在存在的双因子认证。

该恶意软件的攻击基础设施与 C&C 协议都经过精心设计,可以后续扩展与更新。

int v0 = arg4.getEventType();switch(v0) {case 1: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_CLICKED");break;}case 2: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_LONG_CLICKED");break;}case 4: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_SELECTED");break;}case 8: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_VIEW_FOCUSED");break;}. . . case 0x20: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_WINDOW_STATE_CHANGED");this.windowStateChangedEvent(arg4); // function responsible for injectionsbreak;}case 0x40: {UtilGlobal.Log("onAccessibilityEvent", "###    type: TYPE_NOTIFICATION_STATE_CHANGED");this.notificationStateChanged(arg4); // function responsible for logging notificationsbreak;}. . .} 

该恶意软件的日志记录功能非常强大,可以收集受害者的应用程序行为数据,即使不在潜在攻击应用程序范围内。

程序内实际上还有很多功能尚未实现,Xenomorph 可能仍然处在起步阶段。但 Xenomorph 在一开始就考虑了模块化设计,便于后续扩展更多功能。

与其他银行木马一样,该恶意软件也以来覆盖攻击机制来欺骗受害者泄露个人信息,然后犯罪分子可以利用这些信息进行诈骗。如果恶意软件在启动时获取了 Accessiblity Services 权限,后续就可以自动赋予自己需要的权限,在设备上静默执行。

image.png-110.6kB屏幕截图

作案手法

Xenomorph 的攻击手段仍然是经典的 Accessibility Services 权限覆盖攻击。一旦恶意软件执行,后台服务就会在设备上接收可访问事件。打开的应用程序在目标应用程序列表中时,Xenomorph 就会触发覆盖注入目标应用程序的 WebView Activity。

image.png-92kB覆盖攻击

实现功能的部分代码如下所示:

protected void onStart() {super.onStart();this.context = this;OverlayInjectResource v0 = UtilGlobal.getPackageInjection(this, UtilGlobal.SettingsRead(this, "AITG"));this.resource = v0;this.hideStop = true;if(!this.stopActivity && v0 != null) {try {WebView v0_2 = new WebView(this);this.wv = v0_2;v0_2.getSettings().setJavaScriptEnabled(true);this.wv.setScrollBarStyle(0);this.wv.setWebViewClient(new MyWebViewClient(null));this.wv.setWebChromeClient(new MyWebChromeClient(null));this.wv.addJavascriptInterface(new WebAppInterface(this), "Android");String v3 = this.resource.getPageResource(this);this.wv.loadDataWithBaseURL(null, v3, "text/html", "UTF-8", null);this.setContentView(this.wv);}catch(Exception v0_1) {v0_1.printStackTrace();}return;}}

此外,恶意软件能够滥用辅助功能记录设备上的所有活动。截至目前,收集的信息还只是存在本地设备日志上,但后续可能改动回传到攻击者处。

攻击目标

恶意软件会首先回传已安装应用程序列表,根据存在的应用程序下载相应的覆盖注入模块。Xenomorph 针对西班牙、葡萄牙、意大利和比利时的一些目标居多,也包括一些通用应用程序,如电子邮件和加密货币钱包等。

image.png-147.6kB攻击目标

C&C 通信

Xenomorph 依赖于开源项目 Retrofit2 实现 C&C 通信。

Retrofit 是 Square 开发的适用于 Android、Java 和 Kotlin 的 REST 客户端。该库提供了一个强大的框架,用于验证和与 API 交互以及使用 OkHttp 发送网络请求。

在获得无障碍服务权限后,Xenomorph 将首先向 C&C 服务器注册并验证:

{"api":"%DEVICE_SDK_NUMBER%","apps":["%LIST%","%OF%","%INSTALLED%", "%APPS%"],"imei":"%IMEI%","model":"%MODEL%","numbers":["%LIST%","%OF%","%CONTACTS%"],"tag":"%BOT_TAG%","uid":"%UID%"}

通信使用不断变化的 AES 密钥以及消息的哈希值进行加密,使用硬编码密钥的第一条信息格式如下:

{"hash":"%BASE64_ENCODED_SHA256%","id":"%ENCRYPTED_DATA%","iv":"%IV_FOR_AES%","type":"request_verify"}

之后就可以与 C&C 服务器正常通信,恶意软件通常会定期轮询 C&C 命令。响应如下所示:

{ "type": "get_coms","coms": ["<COMMANDS>"]}

coms 支持的命令如下所示:

image.png-53.5kBC&C 命令

服务器有两个接口:

image.png-13.7kB对外接口

与 Alien 相似

Xenomorph 的风格让人想起另一个强大的 Android 银行木马 SOVA,但该恶意软件实际上与另一个已经存在 2 年多的 Android 银行木马 Alien 存在很多相似之处。

Xenomorph 使用的变量命名风格让人联想到 Alien,最有趣的事实是用于存储 Xenomorph 配置的 sharedPreferences 文件的实际名称:ring0.xml

这可能看起来像随机的字符串,但它恰好与 Alien 恶意软件开发者的名称一致。

image.png-101.4kB相似之处

如果说这是巧合的话,还有许多非常奇特的日志记录字符串和类名,都与 Alien 是相似的。

image.png-153.8kB相似之处

目前来看,Alien 的功能显然比 Xenomorph 要强大的多。但 Xenomorph 毕竟是新兴的恶意软件,后续可能会做出更多更新。

结论

Xenomorph 的出现再次表明,攻击者对 Google Play 的攻击越来越频繁。Xenomorph 目前是一个普通的 Android 银行木马,但仍然非常有潜力快速发展。

IOC

64c0f71d9c903f7b22a193a7844ea98a5f9db62b4dcc139f75f6d9698645f369
76e9359cfa98bb326f544577394b007132db63fd19fedde73a76162744b93c6f
2d6f26c16d29d4e68ece44e3ac558cd557d906684ee1a546ea982e7a64ddf0ce
2877b27f1b6c7db466351618dda4f05d6a15e9a26028f3fc064fa144ec3a1850
simpleyo5.tk
simpleyo5.cf
art12sec.ga
kart12sec.gq
homeandofficedeal.com

参考来源

ThreatFabric

# 安卓 # 银行木马 # Xenomorph
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录