前言
现在,各大银行都在通过银行App来给用户提供更多的功能,多亏了移动互联网,我们才能够在全球的任何一个角落随时随地去使用银行服务。但是,随着金融技术的不断发展,用户会不断在特定的银行App中寻找某些特殊服务,这也给网络犯罪分子提供了可乘之机。
近期,我们在Google Play上发现了一个名叫Movil Secure的恶意App,这款App应用了SMiShing技术(短信诈骗+网络钓鱼),主要针对的是西班牙语用户。
实际上,Movil Secure是一款伪装成移动令牌服务的虚假银行App,显而易见,它的开发者试图用专业的品牌和复杂的用户界面来诱骗用户认为Movil Secure是合法的。除此之外,我们还发现了另外三个类似的伪造应用,这三个应用都属于同一名开发者的。目前,Google已经将这些恶意App下架了。
MovilSecure于2018年10月19日上线,并在上线6天内达到了100+的下载量。之所以能够达到这样的下载量,很可能是因为这款App声称和西班牙的一家跨国银行集团(BBVA)有联系。实际上,这家银行一直以技术支持服务而闻名,而且这家公司真正的移动端银行业务App也被认为是目前业内最好的应用程序之一。
这款伪造App正是利用了BBVA在行业内的优势,并通过伪装成银行移动令牌服务来感染用户手机,但研究人员通过分析后发现,Movil Secure其实并不具备相应的功能。
这款恶意软件软件主要针对的是西班牙语用户,它声称自己能够识别BBVA的用户,并为用户提供授权交易服务。但是,研究人员在分析了Movil Secure的功能和行为之后,表示它其实可以被归类为间谍软件。而且当前版本的Movil Secure架构非常简单,这可能意味着它只是研究人员在Google Play上发布的一个实验性应用程序。
感染&攻击机制
当Movil Secure首次启动时,它会收集设备的识别信息,例如设备ID、操作系统版本和国家代码等等。接下来,它会将这些信息发送至远程恶意C2服务器,这一切都会在后台悄悄完成,用户是不会在手机屏幕上察觉到任何异样的。
当我们访问这个远程恶意C2服务器时,我们看到了一个简单的登录页面,这表明攻击者专门开发了一个完整的管理系统来收集、组织和分析捕捉到的用户数据。更重要的是,攻击者很有可能会利用这些数据来发动一场大规模的网络攻击。
当然了,它要收集的数据可不仅仅只有设备标识信息而已,它还会获取目标设备的SMS短信以及手机号。研究人员在对其恶意代码进行了分析之后,发现了这款恶意软件(间谍软件)的主要目的。如下图所示,当受感染设备收到了一条新的短信时,它会将短信的发送者(手机号)以及相应的内容发送至远程C2服务器。这种类型的信息是非常有价值的,因为在目前的银行交易系统中,绝大部分都是利用短信验证码的形式来授权银行交易的。
目前,这款恶意软件的开发者已经开始尝试将收集到的数据使用到SMiShing恶意活动中了。
仔细分析了恶意App的开发者详情之后,你会发现他的名下还有三款类似的恶意App。Evo和Bankia都是在西班牙非常受欢迎的银行,而Compte de Credit跟任何一家大型金融机构都没有一点关系。这三款恶意App都是在10月19日发布的,发布时间跟MovilSecure是一样的。研究人员通过分析后发现,这些恶意App的运行机制跟Movil Secure其实是一样的,它们都会收集受感染设备上的设备标识信息以及SMS短信数据,然后将它们发送至远程C2服务器。
入侵威胁指标
SHA256
恶意软件检测名称
命令控制服务器
* 参考来源:trendmicro,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
领取专属 10元无门槛券
私享最新 技术干货