APT-KBuster仿冒韩国金融机构最新攻击活动追踪

阅读量407078

发布时间 : 2021-01-11 15:30:20

 

概述:疫情还未结束,欺诈者就已经蠢蠢欲动,年中时分,KBuster团伙再次发力,非法获取大量用户数据。

近期恒安嘉新暗影安全实验室通过情报溯源挖掘系统发现KBuster组织针对韩国地区进行的仿冒金融机构的最新钓鱼活动,此次攻击活动从2019年12月开始持续到2020年8月,攻击者可能来自荷兰。该组织会利用xampp框架搭建钓鱼网站向外传播仿冒APP。经分析发现该类软件具有信息窃取、远程控制和系统破坏的恶意行为。此次攻击活动利用的样本,包名具有明显的相似性;窃取用户信息时,利用FileZilla生成FTP服务器,用于接收用户信息,服务器上绑定有大量的连续ip地址,形成ip地址池,推测用于链接防封,从而稳定地获取用户信息,使用了如此多的网络基础资源,也从侧面印证了该组织财力可观。

 

1. 程序运行流程图

恶意程序运行主要分为两大功能,第一种功能会仿冒金融结构,诱导用户填写个人信息,利用提示信息诱骗用户拨打电话联系咨询员,并自动监听手机通话状态,利用黑名单来自动挂断指定号码;第二种功能会获取个人敏感信息,包括用户通讯录、短信、通话记录等个人信息上传到指定服务器,还会获取用户保存在SD卡上的各种文件(如doc、xlsx、pdf等),并且有意识的收集韩国本土办公软件的文件(如hwp类型);该软件还留有远控模块,方便日后升级与持续获取信息。

图1-1 程序运行流程图

此次活动,利用的样本包名相似度极高,具有一定的命名规律,都会包含要仿冒的金融机构的缩写和一串数字组成:

图2-1 包名对比

 

2. 样本基本信息

本次以“현대캐피탈”软件为例进行分析。

程序名称 현대캐피탈
程序包名 com.hd7202008056.activity1
程序MD5 1D937D1E0E95B3258B309EF35CC61F3E
签名信息 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
签名MD5 8DDB342F2DA5408402D7568AF21E29F9
图标

 

3. 技术原理分析

3.1 仿冒金融机构

仿冒金融机构的应用图标。

图2-2 仿冒金融机构的应用图标(部分展示)

程序启动后加载本身携带的仿冒界面:

图2-3 加载的仿冒页面

2.2 程序恶意行为

(1)忽略电池优化,保障应用在后台正常运行。

图2-4 忽略电池优化

(2)设置主要服务开机自启,用于进程保活:

图2-5 服务自启

(3)获取手机号码等固件信息经过BASE64加密后进行上传:

图2-6 上传基本信息

(4)获取已安装应用列表进行上传:

图2-6 上传应用列表

(5)监听通话状态,通过黑名单挂断指定电话:

图2-7 挂断指定电话

(6)对外呼电话进行录音并保存本地,等待上传:

图2-8 通话录音

(7)程序留有远控模块,方便后期更新和持续获取信息:

图2-9 解析指令

指令列表:

2.3 上传用户个人信息

(1)程序通过FTP服务器,将获取的用户短信、通讯录、通话记录、录音文件加密后进行上传。

图2-10 获取短信

图2-11 获取通讯录

图2-12 获取通话记录

图2-13 进行上传

(2)该程序包含有三个专门用于接收个人隐私信息的FTP服务器地址,服务器上包含有大量用户数据,根据上传日期判断,最早在2020年5月开始进行收集用户数据。

图2-14 上传的用户数据

图2-15 数据解密

2.4 上传SD卡信息

(1)程序会在SD卡中搜索hwp、doc、docx、dwg、xls、xlsx、ppt、pptx、pdf、eml、msg、email、rar、zip、egg、7z、alz、iso格式的文件进行上传。

图2-16 获取的文件类型

(2)该程序有一个专门用于接收用户文件的FTP服务器:

图2-17 上传的用户文件(包含doc、xlsx、pdf、hwp等文件)

图2-18 FTP通信

 

3. 服务器溯源

(1)该软件使用的服务器,ip归属地为香港,端口采用3500,首次访问会要求使用websocket协议进行连接。

url:http://110.173.***.10:3500/socket.io

ip地址:110.173.***.10

图3-1 ip归属地

 

4. 样本信息

 

5. 安全建议

  1. 让你的设备保持最新,最好将它们设置为自动补丁和更新,这样即使你不是最熟悉安全的用户,你也能得到保护。
  2. 坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
  3. 安装好杀毒软件,能有效的识别已知的病毒。

本文由暗影安全实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/227869

安全客 - 有思想的安全新媒体

分享到:微信
+11赞
收藏
暗影安全实验室
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66