几维安全解析:银行僵尸网络的Android恶意软件源代码
ESET最近在Google Play发现的新的Android银行恶意软件再次在野外出现,针对更多的银行,对这种重修威胁的进一步调查发现,其代码是使用几个月前公布的源代码构建的。
以前的版本是由ESET检测为Trojan.Android/Spy.Banker.HU(版本1.1 -如标记通过它在源代码的作者),并报告了2月6 日。恶意软件是通过Google Play作为合法天气预报应用程序“ Good Weather”的特洛伊木马版本分发的。该木马针对22个土耳其手机银行应用程序,尝试使用虚假登录表单收获凭据。此外,它可以远程锁定和解锁受感染的设备,以及拦截文本消息。
上个星期天,我们在Google Play发现了一个新版本的木马,伪装成另一个合法的天气应用程序,这次是世界天气。由ESET检测到的Trojan.Android/Spy.Banker.HW(版本1.2)的木马从2月14 日起在Google Play商店提供,直到ESET的报道,并于2月20 日从商店拉出。
连接点
第二个发现导致了另一轮调查,提出了一些有趣的启示。
事实证明,这两个Android木马都是基于在线公开的免费源代码。据称从头开始,Android恶意软件的“模板”代码以及C&C服务器的代码(包括Web控制面板)已于2016 年12月19 日起在俄罗斯论坛上提供。
Android恶意软件和C&C的源代码
随后的调查引起 了我们关注的Web博士的研究结果,他们分析了恶意软件的早期变体之一(由2016 年12月26 日起被检测为Android / Spy.Banker.HH)。
不过,尽管我们在1.0版本下检测到相同的检测名称,但此变体并未直接连接到Google Play上发现的那些。在访问僵尸网络C&C服务器的控制面板之后,我们可以确认这一点,该服务器在我们调查时启动并运行。通过控制面板,我们可以收集有关所有2800多个感染机器人的恶意软件版本的信息。
Web控制面板列出恶意软件的受害者
以下是基于C&C控制面板中列出的僵尸网络数据的恶意软件受影响的用户组的概述:
有意思的是,自从2017年2月2日起,C&C服务器本身就已经被使用,无需任何凭据。
它如何运作?
新检测到的版本具有与其前身基本相同的功能。在原始合法应用程序采用的天气预报功能之外,Trojan.Android/Spy.Banker.HW可以通过设置锁定屏幕密码和拦截文本消息来远程锁定和解锁受感染的设备。
两者之间的唯一区别似乎是一个更广泛的目标群体 - 恶意软件现在影响到69个英国,奥地利,德国和土耳其银行应用程序的用户以及更先进的混淆技术。
绿色 - 合法的世界天气图标; 红色 - 恶意版本
该木马还具有内置的通知功能,其目的只能在访问C&C服务器后进行验证。事实证明,恶意软件能够在受感染的设备上显示假通知,提示用户代表相应银行的“重要信息”启动其中一个目标银行应用程序。通过这样做,触发了以虚假登录屏幕的形式的恶意活动。
我的设备是否被感染?如何清理?
如果您最近从Play商店安装了一个天气应用程序,您可能需要检查您是否还没有成为此银行木马程序的受害者之一。
如果您认为您可能下载了名为Weather的应用程序,请在“设置” - >“应用程序管理器”下找到该应用程序。如果您看到图(应用程序管理器中的木马程序)所示的应用程序,并且在设置 - >安全 - >设备管理员图(在活动的设备管理员下伪装成系统更新的恶意软件 )下找到“系统更新”,您的设备已被感染。
要清理设备,建议您使用移动安全解决方案,或者手动删除恶意软件。
要手动卸载该木马,首先需要停用其设置 - >安全 - >系统更新下的设备管理员权限。完成后,您可以在设置 - >应用程序管理器 - >天气中卸载恶意应用程序。
应用程序管理器中的木马程序
如何保持安全
虽然这个僵尸网络背后的特定攻击者群体选择通过特洛伊木马的天气应用传播恶意软件,并将目标定在本文底部列出的银行,但不能保证代码不会在其他地方被使用。
考虑到这一点,坚持一些基本原则是保持免受移动恶意软件的好处。
尽管Google Play并不完美,但Google Play确实采用先进的安全机制来防范恶意软体。由于替代应用商店或其他未知来源可能不是这种情况,请尽可能选择Google Play官方商店。
从Play商店下载时,请确保在安装或更新之前了解应用的权限。而不是自动向应用提供所需的权限,而是考虑应用程序以及设备的意义。
运行您在移动设备上安装的任何内容后,请注意其请求的权限和权限。如果没有未连接到其预期功能的高级权限,则该应用程序可能不是您不想在手机上安装的应用程序。
最后,几维安全提供Android加密安卓源代码保护,轻松集成一键加密C、C++和Objective-C源代码,避免核心代码被逆向分析,保护您的设备免受主动威胁。
