假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。

圖2、防止在模擬器上執行的程式碼

 

啟用輔助功能/設備管理員控制

一旦執行,它會要求使用者為這惡意應用程式啟用輔助功能。這讓它能夠模擬使用者操作,如螢幕點選。

圖3、為SmsSecurity啟用輔助功能

 

這惡意應用程式會嘗試下載並執行第三方Android破解工具:

 

圖4、下載Android破解工具的程式碼

輔助功能服務會監視com.shuame.rootgenius.ui.homepage.HomepageActivity活動,這是破解工具的主要活動。如果發現,輔助功能服務會尋找並點擊活動內的按鈕來開始破解程序。

取得root權限後,惡意應用程式會試著修改其程序檔案的oom_adj設定值,防止系統因記憶體不足而將它終止。

圖5和圖6、修改oom_adj設定值的程式碼

輔助功能服務會試著將惡意應用程式作為設備管理員啟動而不通知使用者。它會找到設定功能並點擊啟用按鈕來完成這一點。

圖7、嘗試取得管理者權限的程式碼

 

支援 TeamViewer

在這階段,SmsSecurity新變種會在設備上安裝TeamViewer QuickSupport應用程式。這是一個遠端連線工具,可以讓技術支援團隊在行動設備上協助使用者。而在這裡,它被攻擊者用來接管使用者的行動設備。

圖8、安裝TeamViewer QuickSupport的程式碼(點擊放大)

攻擊者需要顯示在行動設備上的使用者TeamViewer ID才能連上。輔助功能服務會讀取此ID讓攻擊者能夠進行遠端控制。這和其他設定一起儲存在共享的檔案內,就跟舊版本的SmsSecurity一樣。

圖9、顯示在螢幕的TeamViewer ID

 

圖10、儲存在檔案內的TeamViewer ID(點擊放大)

 

這個樣本會檢查多種語言的「啟用」按鈕,包括英語、德語、法語和義大利語。這顯示出目前的版本如何在不同語系的作業系統檢查啟用按鈕。

 

目標和結論

這次攻擊的目標是奧地利、匈牙利、羅馬尼亞和瑞士的各家銀行。(許多被鎖定的瑞士銀行是邦立銀行)。下列銀行都成為攻擊的目標:

  • 瑞士Aargau邦立銀行(Aargauische Kantonalbank)
  • 奧地利銀行(Bank Austria)
  • 瑞士Fribourg邦立銀行(Banque Cantonale de Fribourg)
  • 瑞士Basler邦立銀行(BKB Bank)
  • 瑞士信貸集團(Credit Suisse)
  • 奧地利第一儲蓄銀行(Erste Bank)
  • 瑞士Glarner邦立銀行(Glarner Kantonalbank)
  • 瑞士Luzerner邦立銀行(Luzerner Kantonalbank)
  • 奧伯銀行(Ober Bank)
  • 瑞士Obwaldner邦立銀行(Obwaldner Kantonalbank)
  • 奧合銀行(Raiffeisen Bank)
  • 瑞士Schaffhauser邦立銀行(Schaffhauser Kantonalbank)
  • 奧地利大眾銀行(Volksbank)
  • 瑞士Zürcher邦立銀行(Zürcher Kantonalbank)

 

這些目標廣泛的地理分佈解釋了其行為的多語言性質,因為目標客戶可以流利地使用各種語言。

從這些新SmsSecurity變種可以看出SmsSecurity的功能演變。將Android的輔助功能用在惡意用途上是進行自動化行為的創新方法,這些做法在未來可能會被其他行動惡意軟體模仿。安全應用程式(如趨勢科技的行動安全防護)可以偵測這些惡意應用程式來封鎖這些威脅。

 

入侵指標(IoC

 

這些變種用到下列命令與控制(C&C)伺服器

  • hxxp://clubk-ginza.net/css/3.php
  • hxxp://edda-mally.at/css/3.php
  • hxxp://gruposoluciomatica.com.br/os3/inc/main.php
  • hxxp://izmirsatranckursu.net/includes/main.php
  • hxxp://jbrianwashman.com/images/photo26962/main.php
  • hxxp://losbalonazos.com/wp-admin/3.php
  • hxxp://moseybook.com/blog/wp-includes/main.php
  • hxxp://naritamemorial.com/analog/3.php
  • hxxp://pplweb.pplmotorhomes.com/includes/main.php
  • hxxp://sedalbi.com/img/main.php
  • hxxp://szaivert-numis.at/standardbilder/dll/3.php
  • hxxp://www.ircvenezia.it/free/main.php
  • hxxp://www.oguhtell.ch/cart/3.php
  • http://www.santamariagorettimestre.it/img/main.php
  • http://www.vanca.com/media/3.php

 

惡意應用程式被偵測為ANDROIDOS_FAKEBANK.OPSA,以下是相關SHA1雜湊值:

  • 323bf07667bf9d65055f80a15a90508e99e05632
  • d84353986ee05ac61308063271ade3f8f2876ef9
  • 8d0dfd97194f8aef5a15f16e2d410af1f3dcfeae

 

@原文出處:New SmsSecurity Variant Roots Phones, Abuses Accessibility Features and TeamViewer作者:Jason Gu(行動威脅反應工程師)