遍及93國,竊取 377 種銀行應用程式個資的Anubis 銀行木馬,偽裝匯率轉換和電池節能app,利用動作感應資料躲避偵測

 

集銀行木馬 、 勒索病毒 、 鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播 。

Anubis本身內建的鍵盤側錄功能,能記錄使用者輸入的按鍵,也可直接截取使用者的裝置畫面,以便獲得帳號登入憑證。
根據趨勢科技的資料顯示,最新版的 Anubis 已散布至全球 93 個國家,可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外,Anubis 一旦成功執行,還有可能取得裝置上的通訊錄及定位資訊,也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人 。

最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式,這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。

第一個電池節能工具已累積了 5,000 次以上的下載,並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的,因為其中參雜了一些匿名用戶的評論,並且有些評論邏輯不通且缺乏實質內容。

根據趨勢科技對這波攻擊的研究,這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為 ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後,證明其程式碼與已知的 Anubis 樣本極為類似。此外,我們也發現它會連上位於「aserogeege.space」網域的幕後操縱 (C&C) 伺服器,該網域也與 Anubis 有所關聯。

這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址,而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址,從 2018 年至今大約已更換過六次,顯示歹徒的攻擊行動相當活躍。

Fig 1.

圖 1:Google Play 商店上的惡意應用程式。

Table 1.

表 1:BatterySaveMobi 所有樣本肆虐地區分布。


利用裝置的動作感應功能躲避偵測

上述不肖應用程式不僅使用了傳統的躲避技巧,還利用使用者裝置的動作感應功能來躲避偵測。

一般來說,當使用者在操作裝置或帶著裝置移動時,裝置的動作感應器就會產生動作資料。反觀資安廠商的沙盒模擬偵測環境可能就不會產生這類動作資料,因此惡意程式可利用這點來判斷自己是否正在沙盒模擬環境中執行。

上述應用程式會偵測裝置是否會產生使用者的動作資料,如果沒有,就代表其程式很可能正在沙盒模擬環境內執行,因此就不會執行其惡意程式碼。

Fig 2.

圖 2:惡意程式會偵測使用者的動作,若未偵測到動作就不執行惡意程式碼。

指令 動作
::apk:: 下載 APK 檔案並誘騙使用者安裝。
kill 停止執行惡意程式碼。

表 2:C&C 伺服器指令。

假冒系統更新訊息,誘騙下載

當惡意程式碼執行時,應用程式就會顯示假的系統更新訊息來誘騙使用者下載並安裝惡意 APK 檔案。

Fig 3.

圖 3:惡意程式顯示假的系統更新訊息。

歹徒隱藏其惡意伺服器位址的方式是利用編碼方式將位置附在 Telegram 和 Twitter 網頁的請求當中。當惡意應用程式在確認裝置的真實性之後,就會連上原先設定好的 Telegram 或 Twitter 網頁。接著,會從收到的 HTML 網頁內容當中解析出 C&C 伺服器的位址 (也就是「aserogeege.space」)。接下來,它會向 C&C 伺服器註冊並透過 HTTP POST 請求向 C&C 伺服器查詢是否要執行任何指令。若伺服器回應一個「APK」指令,並附上一個下載網址,應用程式就會在系統上暗中植入 Anubis 的檔案,然後利用「圖 3」的假系統更新訊息來試圖安裝該程式。

Fig 4.

圖 4:編碼後的伺服器網址,上圖顯示 C&C 伺服器網址當中的文字。

Anubis 內建鍵盤側錄功能,只需記錄受害者輸入的按鍵就能竊取帳戶登入憑證

Anubis 惡意程式會偽裝成正常應用程式,並要求使用者提供存取權限,然後試圖竊取帳號資訊。一般的銀行木馬程式通常會在使用者開啟某個應用程式時顯示一個假畫面將整個螢幕覆蓋,讓使用者在這個假畫面上輸入自己的帳號登入憑證,進而盜取使用者帳號。但 Anubis 的做法稍有不同,由於它本身內建了鍵盤側錄功能,因此只需記錄使用者輸入的按鍵就能竊取其帳戶登入憑證。此外,也可直接截取使用者的裝置畫面,同樣也能獲得帳號登入憑證。

根據趨勢科技的資料顯示,最新版的 Anubis 已散布至全球 93 個國家,可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外,Anubis 一旦成功執行,還有可能取得裝置上的通訊錄及定位資訊,也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人,或從裝置撥打電話,或者從事其他惡意活動。根據先前的一份報告指出,某些版本的 Anubis 甚至會搖身一變成為勒索病毒。

Fig 5.

圖 5:Anubis 鎖定的一些銀行應用程式。

今日,許多使用者的行動裝置上都含有相當多的個人資料,並且與各種不同的帳號相連結,因此,只要出現任何的資安漏洞,都很可能帶來嚴重的後果。所以,使用者對於任何要求輸入銀行登入資料的應用程式都應特別小心謹慎,務必確定應用程式確實是由銀行所提供。

趨勢科技解決方案

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,
同步支援Windows、Mac、Android、iOS,不讓病毒有機可趁 精準預測即時抵禦未知威脅 》即刻免費下載試用

趨勢科技行動安全防護
趨勢科技企業版行動安全防護
趨勢科技行動應用程式信譽評等服務 (MARS)

入侵指標資料

SHA256 雜湊碼與網址 說明
b012eb5538ad1d56c5bdf9fe9562791a163dffa4 bc87c9fffcdac4eea1b84c62842ce1138fd90ed6 7e025e21d445be9b6b12a9181ada4bab3db5819c e29c814c2527ebbac11398877beea2bc75b58ffd   入侵指標
16fc9bc96f58ba35a04ade2d961b0108d135caa5   惡意檔案
areadozemode.space selectnew25mode.space twethujsnu.cc project2anub.xyz taiprotectsq.xyz uwannaplaygame.space projectpredator.space nihaobrazzzahit.top aserogeege.space hdfuckedin18.top dingpsounda.space wantddantiprot.space privateanbshouse.space seconddoxed.space firstdoxed.space oauth3.html5100.com dosandiq.space protect4juls.space wijariief.space scradm.in  

原文出處:Google Play Apps Drop Anubis Banking Malware, Use Motion-based Evasion Tactics 作者:Kevin Sun