浅析Google Play上的虚假银行应用

然而阐发利用的功能和行径后,我们可以明确将其归类为特工软件

一、媒介

现在银行机构会为自身的银行利用供给越来越多的功能及进级特点,因为这些利用异常方便,举世越来越多的用户开始应用移动银行办事然而,跟着新型金融技巧的成长,用户会主动去探求银行供给的利用及其他办事,这也为欺骗分子供给了可乘之机,近来的一个案例便是Movil Secure这款利用10月22日,我们在Google Play上发清楚明了这个恶意利用,该利用是针对西班牙语用户的短信钓鱼(SMiShing)进击活动中所应用的一款对象

二、恶意利用

Movil Secure是一个虚假的银行利用,冒充成一个移动令牌办事利用开拓工资了能够成功诈骗用户,经由过程异常专业的视觉效果以及繁杂的用户界面来让用户误以为这是一个合法利用我们发明同一个开拓职员账户名下还存在其他三款类似的虚假利用Google已经确认我们反馈的结果,现在这些利用已从Google Play中删除

Movil Secure的宣布光阴为10月19日,6天光阴内下载次数已跨越100次利用声称自身与Banco Bilbao Vizcaya Argentaria(BBVA,毕尔巴鄂比斯开银行,拥有跨国关系的西班牙银行集团)有关,是以才有如斯可不雅的下载量该银行因其专业技巧水平而广为人知,其官方移动银行利用可称得上业界最好的利用之一

捏造的利用法度榜样(如下图)充分使用了BVVA的有名职位地方,将自身冒充成用于移动银行令牌的一种银行办事(令牌可以用于身份治理和买卖营业授权)然而仔细阐发后,我们发明该利用并不具备其鼓吹的任何功能

图1. 冒充的利用传播鼓吹自己具备数字令牌功能

该利用专为西班牙语用户筹备,声称其能够识别并授权BBVA银行客户的买卖营业今朝利用的功能仍旧异常简单,可能注解这是进击者在Google Play上宣布的试用版利用

三、功能阐发

利用首次启动时会网络设备标识符,此中包括设备ID、操作系统版本以及国家代码,然后利用会将网络到的所有信息发送给敕令及节制(C&C)办事器利用还会暗藏自己,对用户弗成见:移着手机屏幕上看不到利用的图标

图2. 网络设备标识符的代码片段

造访C&C办事器时,我们看到了一个简单的登录页面,这注解进击者开拓了一个完备的治理系统,用来阐发并治理网络到的数据别的这个环境注解进击者可能会梳理网络到的所稀有据,用来提议后续的进击活动

图3. 敕令节制办事器的登录页面

利用网络的数据并不仅限于设备标识符,还会网络SMS消息(短信)以及手机号码阐发利用代码后,我们发明这是这款特工软件的主要目标如下图所示(图4),当安装该利用的设备收到一条新的SMS消息后,恶意利用会将SMS发送方及消息内容发送给C&C办事器以及一个特定的手机号码这种类型的信息异常有代价:移动银行利用平日会应用SMS消息来确认或者授权银行买卖营业

图4. 网络SMS消息的代码片段

该利用背后的进击者已经使用网络到的数据来提议短信钓鱼进击(SMiShing)在该利用的评论区中,有人评论说这是针对银行卡的一款敲诈利用,

图5. 有评论觉得这是一款敲诈利用

查看开拓者的具体信息后,我们可以看到开拓者名下还有3款类似的虚假利用(如图6所示)Evo和Bankia是异常有名的西班牙银行,而Compte de Credit与任何大年夜型金融机构都没有关系这3款利用的宣布光阴均为10月19日,这与Movil Secure的宣布光阴相同阐发注解这些利用与Movil Secure的功能相同:都邑网络设备标识符及SMS数据,然后将这些数据发送给C&C办事器

图6. 同一个开拓者名下的其他虚假利用

四、缓解步伐

我们狐疑进击者可能会在后续的短信钓鱼进击中使用这些利用网络到的数据,或者会考试测验从这些西班牙银行的客户手中网络银行凭证信息到今朝为止,我们已经发清楚明了这款特工软件的所有功能,我们会持续监控,跟踪其成长趋势

用户鄙人载与银行账户有关的利用时应非分特别小心,始终反省所下载的是否为合法利用此外,相关设备也该当支配周全的移动安然机制,以缓解这类移动恶意软件趋势科技移动安然小我版和移动安然办理规划可以成功识别这次进击活动相关的所有要挟趋势移动利用信誉办事(MARS)应用了先辈的沙箱及机械进修技巧,可以覆盖Android及iOS要挟,保护用户免受恶意软件、0 Day进击和已知破绽使用技巧、隐私泄露及利用破绽的损害

五、IoC

SHA256值:

b168e64a02c3aed52b0c6f77a380420dd2495c3440c85a3b7ed99b8ac871d46a

d8018d869254abd6e0b2fb33631fcc56c9f2e355c5d6f40701f71c1a73331cb3

299e1eb8a1f13e1eb77a1c38e5cf7bbdc588db89d4eaad91e7fc95d156d986e5

24e7a8ed726efa463edec2e19ad4796cf4b97755b8fdf06dea4950c175c01f77

检测标识:AndroidOS_FlokiSpy.HRX

敕令及节制办事器:hxxps://backup.spykey-floki.org/add.php

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包