背景:近些年,地下黑產組織針對全世界各國大型銀行進行持續性的APT攻擊,尤其是針對韓國、西班牙、葡萄牙等大型銀行,採用仿冒、間諜軟件、釣魚劫持、勒索等技術手段,竊取用戶個人信息,非法入侵用戶的互聯網賬戶系統。近期,恆安嘉新暗影安全實驗室在日常監測中,發現一批針對韓國銀行用戶的新型間諜軟件。這批木馬樣本仿冒成“智能快遞”、“羅森快遞”、“CJ韓國快遞”、“現代快遞”、“交貨查詢”、“韓進快遞”、“SJEMS”等12種知名快遞公司名稱,採用加固代碼隱藏,免殺,任意更換遠程控制地址、任意替換新型木馬等手段,配置非常靈活,根據C&C端下發的指令進行遠程控制,竊取用戶手機號碼、通信錄、通話錄音、短信等個人隱私信息,最終盜取用戶互聯網賬戶的資金,其中,“智能快遞”間諜木馬的安裝圖標如圖1所示。
圖1 “스마트택배”(智能快遞)圖標1.基本信息樣本名稱:스마트택배(智能快遞)樣本MD5:d891a72721a8f2b31c5e0759afb0d4a9樣本包名:com.mix.kr簽名信息:CN=AndroidDebug,O=Android,C=US2.運行原理該程序是一款通過仿冒成“스마트택배”(智能快遞)名稱的間諜木馬軟件,開機時自啟動,隱藏安裝圖標,激活設備管理器,屏蔽攔截短信、屏蔽掛斷指定電話、上傳通話錄音文件、刪除通話記錄,上傳用戶手機號和固件信息到指定服務器,根據C&C服務端下發的指令執行遠程控制行為:
- 設置配置文件信息
- 上傳通信錄列表
- 上傳應用列表
- 上傳短信列表
- 發送任意短信
- 更新間諜軟件程序
- 更新服務器地址
木馬運行流程示意圖:
圖2 木馬運行流程示意圖3.代碼分析新型間諜木馬採用偽加固將其核心代碼隱藏,避開殺軟檢測,同時,通過C&C服務端任意更新間諜木馬變種版本,任意更新服務器地址,主要分為基礎功能和遠控功能兩大部分,所謂基礎功能就是樣本自身所具有的惡意行為,遠控功能就是與C&C服務端交互的惡意行為。
圖3 代碼框架通過C&C服務端任意更新間諜木馬變種版本,任意更新服務器地址後續說明。(1)基礎功能開機時自啟動,隱藏安裝圖標,激活設備管理器,屏蔽攔截短信、屏蔽掛斷指定電話、上傳通話錄音文件、刪除通話記錄。隱藏安裝圖標:
圖4 隱藏安裝圖標激活設備管理器:
圖5 激活設備管理器屏蔽攔截短信:
圖6 屏蔽攔截短信屏蔽掛斷指定電話:
圖7 屏蔽掛斷指定電話刪除通話記錄:
圖8 刪除指定通話記錄後臺開啟服務將通話錄音發送到指定郵箱:
圖9 將通話錄音發送到指定郵箱(2)遠控功能上傳手機號、固件信息,並請求遠控指令,根據C&C服務端下發的指令執行遠程控制行為。上傳手機號、固件信息,並請求遠控指令:
圖10 獲取手機號
圖11 請求遠控指令根據C&C服務端下發的指令執行遠程控制行為:C&C服務端指令指令詳解http://113.***.137.171 /kbs.phpsendsms發送任意短信http://113.***.137.171 /kbs.phpissms設置短信相關配置文件http://113.***.137.171 /kbs.phpiscall設置電話相關配置文件http://113.***.137.171 /kbs.phpcontact上傳通訊錄聯繫人http://113.***.137.171 /kbs.phpapps上傳應用程序列表http://113.***.137.171 /kbs.phpchangeapp更新木馬http://113.***.137.171 /kbs.phpmove更新服務器地址接收到指令“sendsms”,發送任意短信:
圖12 發送短信並反饋接收到指令“issms/iscall”,設置短信/電話相關的配置參數:
圖13 設置短信/電話相關的配置參數接收到指令“contact”,上傳通訊錄聯繫人:
圖14 上傳通訊錄聯繫人接收到指令“apps”,上傳應用程序列表:
圖15 上傳應用程序列表接收到指令“changeapp”,卸載並更新木馬版本(指定的仿冒銀行木馬):
圖16 卸載並更新木馬版本涉及韓國的NH智能銀行、新韓銀行、韓亞銀行、友利銀行、KB國民銀行等5家銀行,針對性非常強。
圖17目標銀行列表接收到指令“move”,更新C&C服務器地址:
圖18 更新C&C服務器地址4.溯源分析從上文技術分析我們得到了C&C服務器地址,遠控郵箱賬戶。(1)溯源IP地址從這批木馬C&C服務器所在位置的角度,我們發現8個不同IP地址(IP地址去重),其中,中國香港佔4個,日本佔3個,美國佔1個。樣本MD5服務器地址IP地理位置DD0ACE0363BA60A96753ED21D4DDEB07http://103.***.237.30/kbs.php中國香港C72F2B6DC3D8F3BBF506E7CB7F35B79Fhttp://113.***.136.143/kbs.php中國香港F36AA75CFE9EEC1D8E755C34AC50AC45http://113.***.137.171/kbs.php中國香港3C326883FEB95ABB049A010EFD738A83http://113.***.137.236/kbs.php中國香港3DA715A5191065D596AEE0AEDF27C7EBhttp://60.***.97.36/kbs.php日本東京都5A678A32CA866F13FF99A0ECB1FBC457http://122.***.100.128/kbs.php日本兵庫縣97966D65B2976B06CCE09E6C4299A713http://126.***.162.113/kbs.php日本東京都DDCB9D034A01B014173BA80DC1ACB5BDhttp://45.***.80.109/kbs.php美國加利福尼亞州洛杉磯其中,103.251.237.30地址反查,我們發現其曾經綁定過的58個域名(二級域名去重),經常用於殭屍網絡和垃圾郵件。IP地址曾經綁定過的部分域名列表如下:序號域名1111***.cnwww.111***.cn2ahz***.cnwww.ahz***.cn3ait***lyzers.cnmail.ait***lyzers.cn4www.aita***yzers.cnch***col.cn5www.ch***col.cnait***lyzers.com.cn6www.ait***zers.com.cnwww.anv***larm.com.cn7bj***f.com.cnwww.bj***f.com.cn8delta-t***ik.com.cnwww.delta-te***ik.com.cn9j***x.com.cnwww.j***x.com.cn10www.t***ts.com.cnwon***models.com.cn
(2)溯源郵箱從接收/發送郵件賬戶的角度,發送郵件和接收郵件的郵箱賬戶是同一個:qq18***[email protected],密碼是rk***014。郵箱中還包含大量PC端木馬程序,DNS配置SP,DNS批量域名生成器,跳轉劫持代碼等,說明該郵箱常用來接收其他木馬文件:
圖19 郵箱內有大量惡意軟件(3)樣本擴展在恆安嘉新 App全景態勢與案件情報溯源挖掘平臺上,通過應用名稱、包名等特徵關聯搜索相關樣本,發現平臺上存在大量新型間諜木馬類惡意應用,其中,該類惡意程序代碼結構、包名及其類似,極有可能是同一批人開發。
5.總結新型間諜木馬具有代碼結構相似,變種快的特點,竊取用戶手機號碼、通信錄、通話錄音、短信等個人隱私信息,最終盜取用戶互聯網賬戶的資金,危害極大,同時可能是某地下灰黑產組織針對韓國銀行持續性攻擊,不輕易相信陌生人,不輕易點擊陌生人發送的鏈接,不輕易下載不安全應用。
- 安全從自身做起,建議用戶在下載軟件時,到針對的應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害;
- 很多用戶受騙正是因為釣魚短信的發件人顯示為10086、95588等正常號碼而放鬆安全警惕導致中招,運營商需要加強對偽基站的監控打擊力度,減少遭受偽基站干擾的幾率;
- 各大銀行、各支付平臺需要加強對各自支付轉賬渠道的監管,完善對用戶資金轉移等敏感操作的風控機制,防止被不法分子利用竊取用戶網銀財產;
- 警惕各種借貸軟件的套路,不要輕易使用借貸類App。
原文鏈接:https://www.anquanke.com/post/id/204118
