背景
来自安全公司Dr.Web的研究人员说,最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期,阿里聚安全检测到大量新型BankBot家族木马,木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用,可劫持全球至少50家大型银行手机用户。
特点:新型BankBot木马配置灵活,执行开关受服务端控制;根据C&C端下发的指令进行远程控制;窃取用户隐私,对全球多家金融类app劫持,钓鱼登录界面,进而截获、捕捉用户输入数据,最终非法入侵用户互联网账户系统。
木马运行流程如下:
是否触发恶意代码
BankBot木马启动后会请求C&C端,判断是否执行恶意代码,若服务端返回非“0”则执行恶意代码。
该木马直接隐藏图标,并启动核心服务ge45g45gsdfsadfg,该服务使用CUP唤醒锁可常驻后台。
核心服务
控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁,使核心服务常驻后台。恶意行为如下:
-
强制激活设备管理;
-
上传当前木马运行环境,包括:设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截,用户安装的银行类app名;
-
服务端下发指令实施远程控制;
-
启动劫持服务
下图上传木马运行环境
↑ 上传设备状态
↑ 上传已安装银行app
上传数据由自身加密算法编码,解密结果:3592500503912*:1:1:0、3592500503912*:(中国联通)+86186670157**:4.4.2