LokiBot Android银行木马新变种

阅读量445923

|评论1

发布时间 : 2020-07-30 10:30:07

 

1. 简介

2020年5月左右,ThreatFabric分析师发现了一种新型的银行恶意软件,称为BlackRock。经过调查,发现大量代码继承自Xerxes银行恶意软件,Xerxes本身就是LokiBotAndroid银行木马的变种。Xerxes恶意软件的源代码在2019年5月左右公开,导致任何不法组织都可以利用。

技术方面,BlackRock的目标包含大量社交、银行和交通等两百多款应用程序。到目前为止,还未在其他银行木马的目标程序中看到此类情况。因此,BlackRock背后的操作者正试图利用流行应用进行传播。

 

2. LokiBot恶意软件家族

由于BlackRock基于Xerxes银行木马,因此它是LokiBot衍生产品的一部分,具有多种变体,如下所示。

图1 LokiBot恶意软件家族

 

3. 程序详细信息:

程序名称 Google Update
程序包名 fpjwhqsl.dzpycoeasyhs.cwnporwocambskrxcxiug
程序MD5 D576F944E1AD344F29902FE75BF25EAF
签名信息 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
签名MD5 E89B158E4BCF988EBD09EB83F5378E87
打包时间 2020年06月23日16时24分30秒
图标

 

4. 技术原理分析

4.1 程序运行行为

图2 BlackRock间谍木马危害

首次启动恶意软件时,程序隐藏图标,使用户无法察觉,第二步,它要求受害者提供“无障碍服务”特权。如以下屏幕截图所示,该木马最主要的特征就是仿冒Google更新:

一旦用户授予请求的“无障碍服务”特权,BlackRock便会为其自身授予其他权限。这些额外的权限是程序能够正常运行而无需与受害者进行进一步交互所必需的。完成后,该恶意程序便可以正常运行,并从C2服务器接收命令并执行恶意攻击。

程序主要功能:一是根据远程服务器下发的指令进行发送指定短信、给通讯录联系人发送指定短信、将程序设定为默认设备管理器、启动指定应用、记录键盘输入信息并发送到C2、将所有通知信息发送到C2、激活设备管理器等行为。二是下载指定应用的仿冒程序,并监控两百多款指定程序,当用户启动该应用时劫持对应程序界面,对于社交、约会类主要是劫持用户登录界面;而对于银行类则会劫持用户输入的银行卡、身份证、姓名、手机号、验证码等相关信息。

4.2 程序运行后释放恶意子包

图3 释放恶意子包

4.3 程序初始化准备工作

主要是设定屏幕定时唤醒,判断并开启无障碍功能,并上传固件信息准备请求远控指令,然后隐藏图标,致使用户无法察觉。

图4 木马初始化

根据系统版本设定唤醒屏幕方式时间:

图5 根据系统版本设定唤醒屏幕时间

判断并引导用户开启“无障碍服务”:

图6 引导用户打开“无障碍服务”

4.4 上传固件信息并准备接收远控指令

初始化获取的固件信息上传到C2并准备接收远控指令:

图7 上传固件信息并请求远控指令

信息拼接加密并上传:

URL:http://176.***.**.127:8080/gate.php。

图8 用户信息加密

采用AES加密:

图9 AES加密

上传数据抓包:

图10 上传用户固件信息请求指令数据包

服务器地址以及要监控的应用程序列表:

图10 服务器地址、预监控应用包名

4.5 远控指令解析

表1-1 远控指令详细列表:

一级指令 二级指令 三级操作指令 描述
action params Send_SMS 发送短信
Flood_SMS 每5秒钟将指定内容发送到指定号码(类似于短信轰炸)
Download_SMS 将短信内容发送到C2
Spam_on_contacts 向通讯录每个联系人发送指定短信
Change_SMS_Manager 将恶意程序设置为默认的短息管理器
Run_App 启动特定的应用
StartKeyLogs 记录目标屏幕上显示的文本内容并将其发送到C2
StopKeyLogs 停止记录键盘事件,并删除对应文件
StartPush 将所有通知内容发送到C2
StopPush 停止通知内容的发送
Hide_Screen_Lock 将设备保持在主屏幕上(HOME作用)
Unlock_Hide_Screen 从主屏幕解锁设备
Admin 激活设备管理器
Profile 为设备上的恶意软件添加设备管理配置文件
Start_clean_Push 开始清理通知推送
Stop_clean_Push 关闭清理通知推送

图11 解析远控指令

4.6 部分指令详细代码

Flood_SMS:每5秒钟将指定内容发送到指定号码(类似于短信轰炸)。

图13 每隔5秒发送指定短信

Download_SMS:将短信内容发送到C2:

图14 将用户短信内容发送到C2

Spam_on_contacts:向通讯录每个联系人发送指定短信:

图15 给通讯录每个人发送指定短信

StartKeyLogs:记录目标屏幕上显示的文本内容并将其发送到C2:

图16 监听并记录键盘输入日志上传

4.7 指定应用监控行为

首先遍历用户手机上安装的应用程序,和代码列表中的应用程序包名比对,如果存在则下载对应仿冒程序包。

银行交通类:

包名 应用名 中文名称
jp.co.rakuten_bank.rakutenbank 楽天銀行 -個人のお客様向けアプリ 楽天銀行
com.ubercab Uber – Request a ride 优步
com.amazon.sellermobile.android Amazon Seller 亚马逊卖家
com.amazon.mShop.android.shopping Amazon Shopping 亚马逊购物
org.westpac.bank Westpac Mobile Banking 西太平洋手机银行
com.anz.android ANZ Mobile Taiwan 台湾澳新银行
com.phyder.engage RBS 苏格兰皇家银行
com.rbs.mobile.android.rbs Royal Bank 苏格兰皇家手机银行
com.commbank.netbank CommBank 商业银行
com.santander.bpi Santander Private Banking 桑坦德私人银行
mobile.santander.de Santander Mobile Banking 桑坦德手机银行
com.transferwise.android TransferWise 明智汇款
com.infonow.bofa Bank of America Mobile Banking 美国银行手机银行
com.lloydsbank.businessmobile Lloyds Bank Business 劳埃德银行业务移动银行
ma.gbp.pocketbank Pocket Bank 口袋银行
com.rbc.mobile.android RBC Mobile 加拿大皇家银行
com.htsu.hsbcpersonalbanking HSBC Mobile Banking 汇丰手机银行
com.abnamro.nl.mobile.payments ABN AMRO Mobiel Bankieren 荷兰银行Mobiel Bankieren
au.com.nab.mobile NAB Mobile Banking 国民银行手机银行
com.wf.wellsfargomobile Wells Fargo Mobile 富国银行手机
com.cm_prod.bad Crédit Mutuel 法国信贷银行
com.clairmail.fth Fifth Third Mobile Banking 第五第三手机银行
com.db.pwcc.dbmobile Deutsche Bank Mobile 德意志手机银行
com.bitfinex.mobileapp Bitfinex 比特币
com.anzspot.mobile ANZ Spot 澳新银行现货
com.rbs.mobile.android.ubr Ulster Bank RI Mobile Banking 阿尔斯特银行RI移动银行
com.yahoo.mobile.client.android.mail Yahoo Mail – Organized Email Yahoo Mail
com.microsoft.office.outlook Microsoft Outlook Microsoft Outlook
net.bnpparibas.mescomptes Mes Comptes BNP Paribas Mes Comptes法国巴黎银行
com.mail.mobile.android.mail mail.com mail mail.com
au.com.ingdirect.android ING Australia Banking ING澳大利亚银行
com.google.android.gms Google Play services Google Play服务
com.google.android.gm Gmail Gmail

社交娱乐类:

包名 应用名 中文名称
com.tencent.mm WeChat 微信
com.blued.international Blued – LIVE Gay Dating Blued-直播同性恋约会,聊天和视频聊天
com.instanza.cocovoice Coco Coco
com.facebook.katana Facebook 脸书
com.facebook.lite Facebook Lite Facebook Lite
com.fachat.freechat Fachat Fachat:与在线新人视频聊天
com.google.android.videos Google Play Movies & TV Google Play影视
com.google.android.music Google Play Music Google Play音乐
com.grindrapp.android Grindr – Gay chat Grindr-同性恋聊天
com.google.android.talk Hangouts 环聊
com.imo.android.imoim imo free video imo免费视频通话和聊天
com.facebook.orca Messenger Messenger –免费的文字和视频聊天
com.android.vending Play Store 应用商店
com.skype.raider Skype Skype-免费IM和视频通话
com.sgiggle.production Tango 探戈-现场视频广播
org.telegram.messenger Telegram Telegram
com.zhiliaoapp.musically TikTok – Make Your Day TikTok-让您开心
com.tinder Tinder Tinder
com.twitter.android Twitter 推特
com.twitter.android.lite Twitter Lite Twitter Lite
com.viber.voip Viber Messenger Viber Messenger-消息,群聊和电话
com.whatsapp.w4b WhatsApp Business WhatsApp业务
com.whatsapp WhatsApp Messenger WhatsApp Messenger
com.google.android.youtube YouTube YouTube

详细代码:

图21 获取匹配到的应用的仿冒程序

下载对应包名仿冒文件:

图22 下载仿冒程序

图23 下载仿冒程序保存

访问Uber时,试图弹出仿冒界面,但是下载的Uber.zip为空,所以只能在点击菜单按钮时可以看到覆盖效果,具体界面未弹出:

图24 访问Uber时被劫持

访问微信时,预下载的mm.zip也未空,因此弹出了本地存储的信用卡劫持界面:

图25 访问微信时被劫持

该界面是直接内置在本地文件中。如下:

图26 保存在本地的备用劫持界面

4.8 程序防护手段

图27 BlackRock防护手段

检测到安全软件返回主屏幕(主要是防止用户使用安全软件卸载恶意程序):

图28 安全软件匹配

具体安全软件列表:

包名 程序名
eu.thedarken.sdm SD Maid
com.avast.android.mobilesecurity Avast Mobile Security
com.antivirus AntiVirus
com.bitdefender.security Bitdefender Security
com.eset.ems2.gp Mobile Security
com.symantec.mobilesecurity Norton Mobile Security
com.kms.free Kaspersky Internet Security
com.trendmicro.tmmspersonal Mobile Security
com.wsandroid.suite McAfee Security
com.avira.android Antivirus Security
com.hermes.superb.booster Superb Cleaner
com.ghisler.android.TotalCommander Total Commander

点击设置中的应用按钮也返回主屏幕:

图29 判断是否点击设置-应用

 

5. IOCs

文件MD5:

D576F944E1AD344F29902FE75BF25EAF

AEF6FEEB7FD1AF99B5539E8D5A2B712A

36CD2EA94BCF9F9A9959DC4C1C489933

A88F8C088BD63885471C180741B13001

E2874F851E7377ABF18100899ED5E113

C2:

176.***.**.127:8080

本文由暗影安全实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/212117

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
暗影安全实验室
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66