事件概要
近期,奇安信威胁情报中心移动安全团队关注到国外开源情报揭露了一款伪冒国内银行应用的的信息窃取木马,这是一个新型的木马家族,因此我们对其做了进一步的跟进分析。
通过分析发现,自2020年7月13号开始,该家族共伪冒国内4家银行。通过奇安信数据监测雷达我们发现到该家族木马至今仍在影响着国内正常用户,影响量级为千级,为避免更多用户个人财产受到损失,我们对其该家族进行详细跟踪分析并对该家族实现了全面的查杀。
威胁细节
样本信息
|
样本信息 |
描述 |
|
MD5 |
a0a13324ebf31f2d8c10d00e56fcba42 |
|
文件名 |
icbcbank.apk |
|
包名 |
com.byl.test02 |
|
病毒类型 |
信息窃取 |
|
保护手段 |
无 |
样本分析
通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。
随后通过HTTP请求将窃取的信息传送回攻击者的服务器中。
关联分析
通过奇安信威胁情报平台(https://ti.qianxin.com/)进行关联分析,我们发现到该恶意家族的一些下载地址。
根据奇安信大数据后台对该样本进行关联分析,我们发现到该家族还伪冒了其他三个银行。
下面是关联样本使用的钓鱼页面。
关联样本的代码基本一致,需要注意的是针对不同的伪冒银行,其会相应的变化C2地址。
另外,对C2地址进行信息查询并比对样本签名时间可以推断出攻击者的恶意行为早在6月底开始准备,而样本传播时间最早于7月13号。
影响面
根据奇安信威胁情报中心大数据统计,该样本7月至10月中旬在国内感染范围31个省份直辖市,感染总设备多至2000台左右,其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。
安全建议
-
在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在google play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
-
移动设备及时在可信网络环境下进行安全更新,不要轻易使用外来的网络环境。
-
对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。
-
确保安装有手机安全软件,进行实时保护个人财产安全;推荐安装奇安信移动安全产品,我司移动安全产品的杀毒引擎已经支持对该家族样本的全面查杀能力。
奇安信移动产品介绍
IOC
|
文件MD5 |
名称 |
备注 |
|
a0a13324ebf31f2d8c10d00e56fcba42 |
敏感名称故不展示 |
伪冒木马 |
|
c6ad2a8bf1baa250a58cc1c8974589af |
敏感名称故不展示 |
伪冒木马 |
|
a72555d75f772233cce73ba8eb499d1e |
敏感名称故不展示 |
伪冒木马 |
|
a91f89a4ec9ecb0380cbc51bc884af6f |
敏感名称故不展示 |
伪冒木马 |
|
域名/URL |
用途 |
备注 |
|
http://uxsahd[.]com/icbcbank.apk |
样本传播 |
已失效 |
|
http://fusaed[.]com/icbcbank.apk |
样本传播 |
已失效 |
|
http://sedka1[.]com/icbcbank.apk |
样本传播 |
已失效 |
|
http://qctetc[.]com |
C2地址 |
接收窃取数据 |
|
http://888boc[.]com/ |
C2地址 |
接收窃取数据 |
|
https://php.psbc-a[.]cc/ |
C2地址 |
接收窃取数据 |
本文始发于微信公众号(奇安信威胁情报中心):伪冒国内银行的新窃取木马“BYL”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论