1. 概述
近日,奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。移动端针对韩国的金融类诈骗由来已久,韩国相关金融安全机构也相当重视,但随着恶意软件的不断升级,其功能在不断增强,攻击变得精细而复杂,对用户造成的威胁也与日俱增。
2. 软件分析
在此次监控到的恶意软件中,经过技术分析,该恶意软件远控架构是基于“AhMyth-Android-RAT”工具进行的升级改造,具有强大的设备控制功能,可以进行语音钓鱼、电话拦截、通讯录操作、短信操作、通话记录删除等高危操作。下面就以最新发布的伪装成新韩储蓄银行的恶意软件为例,结合其恶意行为关键点进行分析。
2.1 权限申请
同于一般的Android RAT,此恶意软件也将targetSdkVersion降低至21,注册申请30+个权限,包含短信、联系人、通话、录音等相关高危权限。恶意软件启动后,申请权限及低本提示截图如下:
2.2 远控功能列表
因恶意软件远控框架基于“AhMyth-Android-RAT”,所有包含其原生指令功能,具有摄像头操作、短信关联、联系人管理和获取实时定位等功能。远控功能列表如下:
在使用“AhMyth-Android-RAT”工具原生远控功能的同时,为了更好的控制受害者设备,达到提高金融诈骗成功率的目的,进行了更加精细化的远控功能定制,并创建本地数据库,管理维护forward(转发)、black(黑名单)和log(日志) 3张表。远控功能列表如下:
2.3 行为技术分析
该恶意软件窃取受害者隐私信息,通过社工和远程控制设备,迫使受害者闭目塞听,一步步进入诈骗的陷阱之中,下面就其关键行为技术进行分析。
(一)加载伪装页面
主Activity会加载资源文件中静态资源html文件,伪装成银行界面。Webview加载资源代码及显示页面分别如下:
(二)语音钓鱼
在资源文件下,包含有众多的语音文件,它们索引在一个“kkdata.dat”的文件中,该文件分别存储了各个金融机构的各项业务的客服电话和对应服务语音名称。资源列表及信息关联截图如下:
(三)拨出电话拦截
为了防止受害者对诈骗信息进行验证,该恶意软件可以监听拨出电话进行拦截。挂断电话代码截图如下:
(四)删除通话记录及联系人
恶意软件具有拨打电话功能,为了隐匿其行为,它会删除特定通话记录及联系人。实现代码截图如下:
(五)短信管理
获取所有短信信息,以便实施社工攻击,并具有发送特定短信功能,实现代码截图如下:
(六)音视频通话
恶意软件不仅具有预设的语音文件,还具有通过远程控制开启在线音视频通话的功能,音视频通话代码截图如下:
3. 网络资产分析
此次分析的恶意软件家族样本中,除AhMyth工具用于远控控制的服务器外,还有专于金融诈骗业务中信息上传和音视频通话的服务器,使用Base64编码硬编码在样本中。
3.1 AhMyth主控地址分析
AhMyth主控地址ip为“103.93.79.32”,此ip已被多家安全厂商识别,在奇安信威胁情报中心平台查到其关联ahmyth家族样本近百个:
3.2 金融诈骗主控地址分析
恶意软件中用于金融诈骗业务的主控地址ip为“123.253.109.129”,用于上传如用户设备默认拨号器应用、通话记录等信息和音视频服务。服务器位于日本东京,奇安信威胁情报中心平台已将其识别为远控木马服务器:
4. 总结
此次发现的韩国金融诈骗类恶意软件,具有很强的破坏力,受害者一旦被感染,几乎失去了设备的控制权,很难再辨别信息的真实性,容易给自己造成财产损失。针对特定人群如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:
及时更新系统和应用,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。
不轻易开启Root权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。
确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
5. IOCs
MD5
3b08a37f6ecfe79eb1c90cacaaa5d2ce
add6ddf5b6dd36bd3103f4d7c16af0cb
21eae46bd2605e5bea6db9a3954c8e85
45c2d6efaa531fbe4c4814571857c10a
ddb4d35e938d5286c82407363e09e80f
6a466405f1d5cc84fc85f899220d54e9C&C
103.93.79.32:9000
http://123.253.109.129:8702
rtmp://123.253.109.129参考链接:https://www.secrss.com/articles/62296
图片来源网络目标可联系删除
