事件概要
2020年10月,奇安信威胁情报中心移动安全团队发布报告首次揭露了一个伪冒国内银行应用的的信息窃取木马新家族”BYL”。
2020年12月12日,奇安信威胁情报中心移动安全团队发现到攻击者开始更换网络资产展开新一轮传播,通过奇安信数据监测雷达我们发现到该木马家族短短四天(截至到2020年12月16日)国内影响量级已为千级,为避免更多用户个人财产受到损失,我们对其再次披露。
威胁细节
样本信息
|
样本信息 |
描述 |
|
MD5 |
d7fed1ca33d248cfba6b784c70393f15 |
|
文件名 |
ccbbank.apk |
|
包名 |
com.byl.sms |
|
病毒类型 |
银行木马 |
|
保护手段 |
无 |
网站钓鱼
攻击团伙构造并传播钓鱼下载页面,诱使受害者下载并安装钓鱼木马,从而窃取手机用户银行卡凭证及财产。
钓鱼下载页面如下:
样本分析
通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。
随后通过HTTP请求将窃取的信息传送回攻击者的服务器中。
关联分析
通过奇安信威胁情报平台(https://ti.qianxin.com/)进行关联分析,可以发现该恶意家族使用的C2地址和传播地址均是在2020年12月12日开通。
影响面
根据奇安信威胁情报中心大数据统计,该样本在12月12日投发的数天中,共影响到国内31个省份直辖市,受影响用户量级为千级,其中内蒙古8.7%、上海5.5%、四川5.1%为全国感染量最多的三个地区。
安全建议
针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:
(1)在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在google play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
(2)移动设备及时在可信网络环境下进行安全更新,不要轻易使用外来的网络环境。
(3)对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。
(4)确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。
目前,奇安信移动安全产品及威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
|
文件MD5 |
名称 |
备注 |
|
d7fed1ca33d248cfba6b784c70393f15 |
伪冒木马 |
|
|
域名/URL |
用途 |
备注 |
|
http://isjxkac[.]com/ccbbank.apk |
样本传播 |
存活 |
|
http://ksjajsxccb[.]com |
C2地址 |
接收窃取数据 |
附录A:奇安信威胁情报中心移动安全团队
奇安信威胁情报中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件,并在今年发布了多篇移动黑产报告,对外披露了三个APT组织活动,其中两个是首发的新APT组织(诺崇狮组织和利刃鹰组织)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。
附录B:奇安信移动产品介绍
奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。
奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产,发布环节,为客户提供APP加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于APP的下载,使用环节,摸清辖区范围内APP的使用情况,给客户提供APP违法检测、合规性分析、溯源等功能。
本文始发于微信公众号(奇安信威胁情报中心):伪冒银行木马“BYL”持续入侵
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论