8月,IB组威胁情报研究人员检测到一种以前未知的Android 木马,针对越南的金融组织。我们将其代号为 GoldDigger,以参考 APK 中的特定 GoldActivity 活动。
我们立即向越南及其他地区的客户通报了我们的发现。此外,我们的 24/7 CERT-GIB (IB组计算机应急响应小组)根据双方之间的数据共享协议,主动联系VNCERT (越南计算机应急响应小组)亚太计算机应急响应小组成员。CERT-GIB 共享必要的技术信息,包括妥协指标,以便 VNCERT 能够采取适当的风险缓解措施。
这种特殊的木马至少自 2023 年 6 月起就一直活跃。GoldDigger 将自己伪装成假冒 Android 应用程序,可以冒充越南政府门户网站和当地能源公司。其主要目标是窃取银行凭证。喜欢安卓木马较多,该恶意软件滥用辅助功能服务来提取个人信息、拦截短信并执行各种用户操作。该木马还具有远程访问能力。
GoldDigger 的主要特点之一是它采用了先进的保护机制。Virbox Protector是在所有已发现的 GoldDigger 样本中发现的合法软件,它允许特洛伊木马使静态和动态恶意软件分析显着复杂化并逃避检测。这对在沙箱或模拟器中触发恶意活动提出了挑战。
银行木马使用 VirBox 是最近的趋势。Group-IB 的威胁情报团队表示,目前活跃在亚太地区的三个 Android 木马(包括 GoldDigger)正在使用这种规避技术。
因此,对每个 VirBox 保护的样本进行动态分析需要大量时间,并且需要手动干预。VirBox 的定期更新使得对此类恶意软件的静态分析效率低下。银行木马的主要目标是感染尽可能多的设备并获取对用户帐户的访问权限。对抗它们最有效的方法是使用客户端欺诈防护解决方案提供多种好处。其中包括实时保护、对不断变化的威胁的适应性,以及最重要的是依靠行为指标来保护客户的能力。
图 1. GoldDigger 简介
Group-IB 研究人员发现,GoldDigger 木马使用越南语的虚假应用程序来攻击受害者。还发现该木马包含西班牙语和繁体中文的语言翻译,这意味着这些攻击可能会将其影响范围扩展到越南以外,涵盖西班牙语国家和亚太地区的其他国家。
GoldDigger 只是目前活跃在亚太地区的众多安卓恶意软件之一。目前针对该地区的其他值得注意的安卓恶意软件家族包括Gigabud家族、SpyNote、HookBot、PWNDROID4、CraxsRAT、TgToxic和Anubis(教父的前身)等。它们中的大多数都有共同的特征和策略,可以使用Group IB的专有欺诈矩阵进行分析和分类,这是 Group IB 欺诈保护的基本要素。
鉴于 GoldDigger 当前的活动和潜在的扩张,我们决定根据 Group-IB 的 欺诈矩阵仔细研究该特洛伊木马的策略。Group-IB 欺诈矩阵基于 MITRE® 模型,是一个独特的框架,可对欺诈方案进行分析和分类,并概述欺诈者在每个阶段使用的技术。该矩阵是反欺诈的重要情报来源,可深入了解欺诈计划、作案手法以及建议,确保您的组织配备最强大的防御措施。
除了对 GoldDigger 的欺诈技术进行深入分析外,该帖子还包含一份妥协指标 (IOC) 列表,使其成为反欺诈团队和 CTI 分析师的宝贵资源。
让我们更仔细地看看 GoldDigger 的欺诈技术。
图 2. GoldDigger 的 TTP 在 Group-IB 欺诈矩阵中的直观表示欺诈保护界面
恶意软件的分布
GoldDigger 通过伪装成Google Play页面的虚假网站和越南的虚假企业网站进行传播。该木马的运营商很可能通过网络钓鱼或传统的网络钓鱼方式分发这些网站的链接。这些网站包含下载恶意 Android 应用程序的链接(图 3)。
图 3. 分发 GoldDigger 的虚假网站
默认情况下,所有 Android 设备都禁用“从未知来源安装”设置,以防止从第三方来源安装应用程序。如果启用“从未知来源安装”设置,则可以安装来自 Google Play 商店以外来源的 APK。
GoldDigger 要求受害者设备启用“从未知来源安装”功能才能下载并安装。
主动缓解措施
我们建议组织教育其客户不要启用“从未知来源安装”功能,因为这些操作可能会使 Android 设备面临潜在的安全风险。
IB组欺诈保护的 Android SDK检测从未经授权和未知来源安装的请求可疑权限的应用程序。
信任滥用策略:无障碍服务
启动后,GoldDigger 木马会要求用户启用辅助功能服务。
Android 的辅助功能服务旨在帮助残障用户操作其设备。这些服务提供屏幕阅读、放大、基于手势的控制、语音转文本、触觉反馈等功能。遗憾的是,某些银行木马,例如古斯塔夫和吉加布德,正在利用此功能。
向 GoldDigger 授予辅助功能服务权限,使其能够全面了解用户操作并与用户界面元素进行交互。这意味着它可以查看受害者的余额,获取为双因素身份验证颁发的第二个凭据,并实现键盘记录功能,使其能够捕获凭据。GoldDigger 监控越南的 51 个金融应用程序、电子钱包和加密应用程序。所有这些数据都被泄露到命令与控制 (C&C) 服务器。下面的图 4 显示了一个示例。
图 4. 在 GoldDigger 中实施捕获凭证
通过滥用辅助服务,GoldDigger 确保了一系列侵入功能。截至撰写本文时,我们尚未确认木马操作者是否使用了这些功能。然而,根据与 GoldDigger 类似的其他已知木马的行为,我们认为它们没有显着差异。这包括模拟用户交互以实现设备远程访问的能力,本质上是为其提供进入用户系统的后门。图 5 是手势调度程序的代码片段,用于执行设备屏幕解锁。此外,它还支持身份验证绕过,包括第二因素绕过,允许 GoldDigger从合法设备执行付款创建。
图 5. 自动设备屏幕解锁
结论
GoldDigger 等银行恶意软件经常利用辅助服务或权限来实施欺诈活动。为了解决这个问题,IB 集团欺诈保护的 SDK 能够使用规则组合来检测 GoldDigger,包括检测无障碍服务滥用、远程访问功能和异常行为,以及发现从请求可疑权限的未经授权来源安装的应用程序,以及一系列其他相关的应用程序。指标。
Group-IB Fraud Protection 的 SDK 可以轻松添加到任何应用程序中,以防止依赖这种流行技术的欺诈方案,无论它们是最终用户设备上的已知恶意软件还是零日恶意软件。
通过深入了解真实用户与应用程序交互的方式,可以使用用户行为监控来识别冒名顶替者。该系统监控关键的用户行为指标,例如移动速度和屏幕导航压力。结合这些功能可以增强您对大多数恶意软件攻击的防御能力。
图 6. Group-IB 欺诈防护通过用户行为监控进行恶意软件检测
转载来源:https://www.group-ib.com/blog/golddigger-fraud-matrix/
图片来源网络侵权可联系删除
