BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。

BankBot 下載該程式庫之後,就會解開到 APK 快取目錄 (/data/data/packagename/files)。以下程式碼顯示 BankBot 傳送的已安裝銀行應用程式清單:

{
“mod”: “Motorola Nexus 6”,
“vers”: “5.1.1”,
“app”: “sky_flash”,
“fire”: “cODqrG8XK04:APA91bGYbM7U2KI2f_f9zI0OL6Lc5a-vkNhNot9uEptDfhNCHbp05ONceCeV-HPk2F1tZA0zZ-S3YbptAq6V4Nnfl1GXe7g19ofWK-Wi9lD0N3qZf7nBJEptQOVs33WO8i3eCpOSrVbR”,
“dr”: “4506126840cc9bf9”,
“loc”: “US”,
“app5”: {
“%Android application Package Name%”: “%targeted bank%”,
}
}

Figure 1. C&C response with library URL

圖 1:C&C 伺服器傳回程式庫網址。

C&C 伺服器在下載成功之後一小時之後會回覆成功訊息。這種延遲回覆的做法,有可能是為了躲避防毒軟體的沙盒模擬分析技術,也有可能是因為伺服器忙著針對裝置識別碼產生覆蓋用的網頁。

當伺服器準備好時,或者網頁產生完畢時,就會送出另一個網址來讓 BankBot 去下載假冒網頁的資料。

Figure 2. BankBot downloading overlay webpage

圖 2:BankBot 下載覆蓋用網頁。

網頁下載好之後,Bankbot 就會開始對裝置進行監控,一旦使用者啟動銀行應用程式,Bankbot 就會將其網頁覆蓋在銀行應用程式正上方。如此一來,受害者就會以為自己還在使用平常習慣的銀行應用程式,並將自己的帳號密碼輸入 BankBot 所覆蓋的網頁上。

變種先發送 PIN ,再要求輸入兩次密碼,以防使用者輸入錯誤

 這個新的 BankBot 變種在攻擊阿拉伯聯合大公國的手機使用者時,會多做一道手續。BankBot 不會立即在應用程式上覆蓋自己的網頁,而是先要求使用者輸入自己的手機號碼。接著,C&C 伺服器會經由 Firebase 雲端訊息平台發送一個 PIN 碼給受害者。當使用者輸入 PIN 碼之後,BankBot 再指示受害者輸入銀行帳號密碼。接著,BankBot 會顯示一個錯誤訊息畫面 (就算使用者輸入的資料正確也一樣),然後要求使用者再輸入一次。

Figure 3. Fake Emirates banking app screen

圖 3:假冒阿拉伯大公國銀行應用程式的畫面。

上圖各步驟的詳細內容如下:

  • 驗證提示訊息
  • 輸入電話號碼
  • 輸入 C&C 伺服器送出的 PIN 碼
  • 輸入帳號密碼
  • 錯誤訊息
  • 再次輸入帳號密碼
  • 進入正常操作程序

顯然 BankBot 的作者是想要確認受害者所輸入的帳號密碼是否正確。因此才會詢問兩次,以防使用者第一次輸入錯誤。BankBot 會等到使用者輸入兩次之後,才會將蒐集到的資料傳送給 C&C 伺服器。

Figure 4. BankBot app on Google Play Store

圖 4:在 Google Play 商店上架的 BankBot 應用程式。

BankBot 似乎正在實驗一些新的技巧來試圖擴張勢力範圍,這樣的情況對於日益普及的手機網路銀行應用程式來說,是一項逐漸升高的威脅。根據近期一份研究指出,到了 2017 年,中東和非洲地區的手機網路應用銀行使用者將突破 8,000 萬。另一篇由 ArabNet 所做的報告也指出,阿拉伯聯合大公國的消費者使用手機網路銀行應用程式的比例在中東與非洲地區排行第二。隨著手機網路銀行應用程式的使用者越來越多,網路犯罪集團也越來越關注這類程式。

如何對抗 BankBot?

要對抗這項威脅,使用者應養成良好的手機安全網路帳號使用習慣。凡是儲存有銀行帳號資訊的裝置,都應裝設有效的多層式資安防護。使用者可採用趨勢科技防毒軟體來提升手機安全,例如:趨勢科技行動安全防護,來攔截應用程式商店可能暗藏的威脅,不讓惡意應用程式安裝到裝置上,以免造成危害。趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可利用先進的沙盒模擬分析與機器學習技術來防範 Android 及 iOS 的威脅,防止使用者遭受惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等等的危害。

入侵指標資料

此威脅相關檔案的雜湊碼如下:

  • 4D417C850C114F2791E839D47566500971668C41C47E290C8D7AEFADDC62F84C
  • 6FD52E78902ED225647AFB87EB1E533412505B97A82EAA7CC9BA30BE6E658C0E
  • AE0C7562F50E640B81646B3553EB0A6381DAC66D015BAA0FA95E136D2DC855F7
  • CF46FDC278DC9D29C66E40352340717B841EAF447F4BEDDF33A2A21678B64138
  • DE2367C1DCD67C97FCF085C58C15B9A3311E61C122649A53DEF31FB689E1356F

 

原文出處:BankBot Found on Google Play and Targets Ten New UAE Banking Apps 作者:Kevin Sun

台灣受勒索病毒攻擊超過2千萬次 幾近台灣總人口數! 趨勢科技公佈六大病毒鬼,詐騙勒索錢財、竊取帳號個資為最駭