偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。
有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。
Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。
Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一。
假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。
圖1、該應用程式聲稱它是行動認證應用程式
此應用程式的目標是西班牙語系用戶,聲稱可以用來確認並授權BBVA銀行交易。但在分析其功能和行為後,我們將其歸類為間諜軟體。它看起來很陽春,可能只是先在Google Play上試水溫的版本。
這應用程式的作用及對受害者的影響
當應用程式首次啟動時,它會收集設備識別資料:設備ID、作業系統版本和國家/地區代碼。接著會將這些資料送到命令和控制(C&C)伺服器。它也會將自身隱藏起來 – 不會在手機螢幕上出現圖示。
圖2、收集設備識別資料的程式碼截圖
當我們連上C&C伺服器時,看到一個簡單的登錄頁面,顯示攻擊者開發了一套完整的管理系統來分析和組織收集來的資料。這也代表他們可能會組織所有的資料來發動攻擊。
圖3、命令和控制伺服器的登錄頁面
它收集的資料不僅限於設備識別資料。該應用程式還會收集簡訊和電話號碼;分析此應用程式的程式碼顯示這是此間諜軟體的主要目標。如下圖四所示,當安裝此應用程式的手機收到新簡訊時,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。這類資料非常有價值 – 行動銀行應用程式經常會用簡訊來確認或授權銀行交易。
圖4、收集簡訊的程式碼截圖
此應用程式的作者已經開始利用收集來的資料進行簡訊釣魚(SMiShing)。在此應用程式的評論留言裡,有一位留言者說這是針對他銀行卡的騙局。
圖5、留言聲稱此應用程式是詐騙
檢視開發者詳細資料可以看到他有另外三個類似的假應用程式(如圖6所示)。Evo和Bankia是知名的西班牙銀行,而Compte de Credit則和任何大型金融機構都沒有關聯。這三個應用程式都是在10月19日發布,與Movil Secure相同時間。分析顯示它們具有跟Movil Secure相同的行為 – 收集識別資料和簡訊,然後送到C&C伺服器。
圖6、相同開發者的其他假應用程式
趨勢科技解決方案
我們懷疑從這些應用程式取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從這些西班牙銀行客戶身上收集銀行帳密。到目前為止,我們已經發掘出此版本應用程式的間諜軟體功能,將會繼續監控和追踪其發展。
使用者在下載連結銀行帳戶的應用程式時要特別小心,要確認它們是否正常地連結銀行。還必須在設備上安裝全面性的行動安全軟體來抵禦行動惡意軟體。趨勢科技行動安全防護和行動安全解決方案可偵測所有關於此攻擊的威脅。趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS上的威脅,
入侵指標(IoC)
| SHA256 | b168e64a02c3aed52b0c6f77a380420dd2495c3440c85a3b7ed99b8ac871d46a
d8018d869254abd6e0b2fb33631fcc56c9f2e355c5d6f40701f71c1a73331cb3 299e1eb8a1f13e1eb77a1c38e5cf7bbdc588db89d4eaad91e7fc95d156d986e5 24e7a8ed726efa463edec2e19ad4796cf4b97755b8fdf06dea4950c175c01f77 |
| 偵測名稱 | AndroidOS_FlokiSpy.HRX |
| CnC伺服器 | hxxps://backup.spykey-floki.org/add.php |
@原文出處:Fake Banking App Found on Google Play Used in SMiShing Scheme 作者:Echo Duan(行動威脅反應工程師)
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
