“BankerBR” 家族银行木马

 

背景： IBMX-Force研究人员发现新的Android木马Banker.BR家族，其利用屏幕覆盖攻击针对使用西班牙语或葡萄牙语（包括西班牙、葡萄牙、巴西和拉丁美洲其他地区）的银行客户，企图窃取用户凭证并盗取其账户。研究发现，该恶意软件的早期版本仅具有基本的SMS窃取功能，但是Banker.BR更为精细，具有覆盖攻击的功能并且有全新的代码，不依赖于先前泄漏的代码或现有的移动恶意软件。

近期，恒安嘉新暗影安全实验室在日常监控中，发现一批“Banker.BR”家族银行木马新变种，这些木马程序主要针对桑坦德、玻利维亚、法希尔、西班牙等13家银行客户端实施网络钓鱼攻击，绕过银行双因子验证。程序运行后，通过网络钓鱼手段窃取用户银行相关的账号和密码，再上传用户手机短信验证码，盗取用户的资金。

 

1. 样本概况

程序名称： 2020NovoeBan

程序包名： pt.bn2020.ptz

样本签名 ：CN=AnywhereSoftware,O=Anywhere Software,C=US

证书MD5 ：0D304D8EB39B8494962603CDE0CD9052

图1 程序安装图标

 

2. 样本分析

该样本运行后，会采用界面劫持，网络钓鱼的手段骗取用户的账号和密码，然后监听手机短信，屏蔽短信广播，使用户接收不到短信提醒，最后，上传用户短信内容、银行账户，密码等个人隐私到远程服务器，还有程序会通过后台服务、电源锁等保证进程不被系统杀掉；通过对手机静音、屏蔽短信广播等方式防止被用户察觉；通过设置定时任务发送心跳包监控程序运行状态，达到持久化监测用户手机。

行为示意图如下：

图2 行为示意图

2.1恶意行为持久化

程序通过后台服务、电源锁等保证进程不被系统杀掉；通过对手机静音、屏蔽短信广播等方式防止被用户察觉；通过设置定时任务发送心跳包监控程序运行状态，达到持久化利用用户手机的目的。

图3 恶意行为持久化

设置电源锁

程序通过设置电源锁，使程序在CPU中能持续运行。

图4 设置电源锁

定时发送心跳包

程序设置了定时任务，任务内容为每分钟访问指定链接，该链接参数中带有用户设备的ID，可用于识别。

图5 设置定时任务

图6 上传用户设备ID

心跳包截图：

图7 心跳包

2.2窃取用户短信

程序注册监听器，监听手机短信，当来短信后屏蔽短信广播，使用户接收不到短信提醒，同时上传短信内容到服务器。

图8 获取并上传用户短信息

读取最新收到的短信：

图9 接收用户短信

上传短信内容到服务器：

url：http://186.***.91.100/controls/nb/sms.php?apelido=

图10 上传接收的短信息

2.3获取钓鱼网页

程序通过访问硬编码url的方式，获取钓鱼网页地址。通过这种方式，控制者可以随时更换钓鱼页面：

http://186.***.91.100/extras/nb_link_lyly.txt

图11 获取钓鱼页面

2.4启动钓鱼页面

程序加载从服务器获取的钓鱼链接，启动网络钓鱼，程序可以从钓鱼页面获取用户账号及密码等信息。

图12 加载钓鱼页面

 

3. 溯源分析

3.1服务器分析

通过样本分析，我们得到了一个IP地址186.***.91.100，归属地位于巴西，通过反查IP域名，获取到19个曾经绑定过的子域名，同时发现多个后台地址，从后台界面中可以看到多个金融机构的标签，表明攻击者对接收到的数据进行了相应归类。

子域名：

后台地址

http://186.***.91.100/index.php

http://186.***.91.101/index.php

http://ns1.glad***ijoux.com.br/

图13 服务器后台

后台界面各金融机构的标签：

图14 服务器后台

相关的服务器信息列表

3.2传播链接分析

通过恒安嘉新 App全景态势与案件情报溯源挖掘平台分析，发现一条传播链接和疑似后台服务器日志，通过时间点分析，发现攻击者可能来自巴西。

传播链接：https://sis-ptc***stro.com/app/BPI_Security.apk

查看域名信息，注册时间为2020年4月14日：

图15 传播地址域名信息查询

查看该地址的登录日志发现，第一条访问时间为2020年4月14日，由此推测第一条访问ip可能来自攻击者：

图16 登录日志信息

图17 IP归属地

3.3同源性分析

在恒安嘉新 App全景态势与案件情报溯源挖掘平台上，通过应用名称、包名等特征关联搜索相关样本，发现平台上存在一批与当前样本同源的样本，总体上可以分为两类，一类与本文阐述的行为相同，另一类样本对功能进行了改进。该类恶意程序代码结构、包名及其类似，极有可能是同一批人在持续开发传播。

图18 同源样本信息

新增的功能

（1）增加了无障碍服务权限，诱导用户授予该权限，程序可以监控手机界面。

图19 请求无障碍服务

（2）将从网络获取指定的钓鱼页面改进为自带钓鱼界面，根据不同的应用，启动相对应的钓鱼界面。

根据不同的应用，展示对应的仿冒界面：

图20钓鱼页面列表

（3）界面劫持验证

以BBVA应用为例进行测试，恶意程序能够成功覆盖原APP界面，效果如下所示：

图21 界面劫持

 

4.“BankerBR”家族银行木马

总结

从这类样本的行为特征来看，主要针对桑坦德、玻利维亚、法希尔、西班牙等13家银行客户端实施网络钓鱼攻击，绕过银行双因子验证。通过网络钓鱼手段窃取用户银行相关的账号和密码，再上传用户手机短信验证码，最终目的是盗取用户的资金。是一种具有针对性钓鱼攻击行为，后续暗影实验室会持续关注此类样本的新进展

在此，暗影实验室提醒大家，不轻易相信陌生人，不轻易点击陌生人发送的链接，不轻易下载不安全应用。

1. 安全从自身做起，建议用户在下载软件时，到正规的应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害；
2. 很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招，运营商需要加强对伪基站的监控打击力度，减少遭受伪基站干扰的几率；
3. 各大银行、各支付平台需要加强对各自支付转账渠道的监管，完善对用户资金转移等敏感操作的风控机制，防止被不法分子利用窃取用户网银财产;
4. 警惕各种借贷软件的套路，不要轻易使用借贷类App。