您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
威脅預(yù)警 | Anatsa 銀行木馬被下載超過數(shù)萬次
最近,研究人員發(fā)現(xiàn) Anatsa 銀行木馬的傳播有所抬頭。這種復(fù)雜的惡意軟件欺騙受害者在不知不覺中安裝后,通過全球的金融應(yīng)用程序來竊取敏感憑據(jù)和財務(wù)信息。攻擊者通過多種技術(shù)攔截和收集數(shù)據(jù)。
概述
Anatsa 是已知的安卓銀行木馬,針對全球超過 650 個金融機(jī)構(gòu)的應(yīng)用程序進(jìn)行竊密,主要受害者都在歐洲。原來主要針對美國和英國的銀行應(yīng)用程序,后續(xù)進(jìn)一步將攻擊目標(biāo)擴(kuò)大到德國、西班牙、芬蘭、韓國與新加坡的銀行應(yīng)用程序。
Anatsa 銀行木馬在安裝時看起來人畜無害,但安裝后應(yīng)用程序會從 C&C 服務(wù)器下載惡意 Payload,以更新的名義進(jìn)入受害者的手機(jī)。這種方式使得惡意軟件可以繞過安全檢測,堂而皇之地上傳到 Google Play 供用戶下載。
攻擊過程
Anatsa 銀行木馬在攻擊行動中的分發(fā)流程如下所示:
攻擊鏈
最近,研究人員發(fā)現(xiàn)了兩個與 Anatsa 銀行木馬有關(guān)的惡意 Payload,通過 Google Play 進(jìn)行分發(fā)。攻擊者通常將惡意軟件偽裝成 PDF 閱讀器和二維碼掃描工具,吸引用戶大量及逆行安裝。下載量越高,用戶越容易相信這些應(yīng)用程序是真實且無害的。截至撰寫本文時,兩個應(yīng)用程序已經(jīng)累計超過 7 萬次安裝。
以下為兩個應(yīng)用程序的 Google Play 頁面截圖,看上去人畜無害但其實都是惡意軟件。
應(yīng)用程序下載頁面
技術(shù)分析
如前所述,Anatsa 銀行木馬利用從 C&C 服務(wù)器下載的 Payload 進(jìn)行下一步的惡意活動。除了下一階段的 Payload,還會從 C&C 服務(wù)器下載配置文件來執(zhí)行 Payload。
Payload 與配置下載
下載的 DEX 文件,由虛假的應(yīng)用程序加載:
請求下載 DEX 文件
應(yīng)用程序利用反射從加載的 DEX 文件中調(diào)用代碼,再下載所需要的配置文件:
下載配置文件
成功下載下一階段 Payload 后,Anatsa 銀行木馬會對設(shè)備環(huán)境和設(shè)備類型進(jìn)行一系列檢查,判斷是否處于分析環(huán)境。驗證通過后,再從 C&C 服務(wù)器下載后續(xù)階段的 Payload,如下所示:
下載 Payload
Anatsa 銀行木馬將未壓縮的原始數(shù)據(jù)注入 APK,還故意破壞壓縮參數(shù)以阻礙分析。破損的 ZIP 文件頭如下所示:
反分析技術(shù)
加載 APK 后,惡意軟件會向受害者請求各種權(quán)限,包括短信讀取與各種輔助功能。該惡意軟件將最終的 DEX Payload 隱藏在文件中。運行時通過內(nèi)嵌的靜態(tài)密鑰,解密釋放 DEX 文件。
銀行木馬
執(zhí)行后,Anatsa 銀行木馬會解碼所有編碼的字符串。再與 C&C 服務(wù)器建立連接,執(zhí)行后續(xù)各種惡意攻擊,如檢索應(yīng)用程序列表進(jìn)行代碼注入。為了盜竊金融應(yīng)用程序的數(shù)據(jù),Anatsa 銀行木馬下載了目標(biāo)列表如下所示:
請求配置
可以使用密鑰解密或加密的請求響應(yīng)數(shù)據(jù):
解密數(shù)據(jù)
獲取應(yīng)用程序列表后,惡意軟件會檢查失陷設(shè)備上是否存在對應(yīng)的應(yīng)用程序。如果存在,C&C 服務(wù)器會返回對應(yīng)應(yīng)用程序虛假的登錄頁面,如下所示:
特定應(yīng)用程序
虛假登錄頁面加載在啟用了 JavaScript 接口(JSI)的 WebView 中,誘使受害者提供登錄憑據(jù)。一旦受害者輸入了相關(guān)憑據(jù)信息,數(shù)據(jù)就會立刻回傳給攻擊者。
Google Play 趨勢
攻擊者最常偽裝的應(yīng)用程序類型就是工具類,占比近 40%。個性化應(yīng)用程序和攝影類應(yīng)用程序分別占到 20% 與 13%。具體應(yīng)用程序分類如下所示:
應(yīng)用程序類別
選擇工具類應(yīng)用程序作為偽裝,可能是此類應(yīng)用程序更容易融入 Google Play 商店。分析時,研究人員確定了通過 Google Play 進(jìn)行傳播的幾個典型惡意軟件家族,如:
Joker
Adware
Facestealer
Anatsa
Coper
各個家族具體的分布如下所示:
家族分布
盡管 Antasa 和 Coper 所占份額很小,但其實二者都是極具影響力的銀行木馬。去年,研究人員在 Google Play 中也發(fā)現(xiàn)了多個 Coper 銀行木馬的變種。
結(jié)論
從 Google Play 商店下載應(yīng)用程序也不是沒有風(fēng)險的,各類銀行木馬也在想方設(shè)法進(jìn)行傳播。移動安全威脅形勢也在不斷演變,應(yīng)該采取主動措施來保護(hù)系統(tǒng)和敏感信息不外泄。
IOC
718659f464c3231dc0eeeacfdcbdfa7436089c60ce1bfc975c3b561abb67f0de
https[:]//menusand.com/pdffile
https[:]//menusand.com/hanihani
https[:]//menusand.com/86.apk
http[:]//185.215.113.31:85/api
http[:]//91.215.85.55:85/api
https[:]//becorist.com/juranfile
https[:]//becorist.com/trani
來源:FreeBuf