伪冒国内银行的新窃取木马“BYL”

事件概要

近期，奇安信威胁情报中心移动安全团队关注到国外开源情报揭露了一款伪冒国内银行应用的的信息窃取木马，这是一个新型的木马家族，因此我们对其做了进一步的跟进分析。

通过分析发现，自2020年7月13号开始，该家族共伪冒国内4家银行。通过奇安信数据监测雷达我们发现到该家族木马至今仍在影响着国内正常用户，影响量级为千级，为避免更多用户个人财产受到损失，我们对其该家族进行详细跟踪分析并对该家族实现了全面的查杀。

威胁细节

样本信息

样本信息	描述
MD5	a0a13324ebf31f2d8c10d00e56fcba42
文件名	icbcbank.apk
包名	com.byl.test02
病毒类型	信息窃取
保护手段	无

样本分析

样本启动后会请求权限来访问并窃取手机通知消息。

通过钓鱼页面窃取用户银行APP登陆凭证、姓名、身份证号、银行卡号、支付密码、验证码。

随后通过HTTP请求将窃取的信息传送回攻击者的服务器中。

关联分析

通过奇安信威胁情报平台（https://ti.qianxin.com/）进行关联分析，我们发现到该恶意家族的一些下载地址。

根据奇安信大数据后台对该样本进行关联分析，我们发现到该家族还伪冒了其他三个银行。

下面是关联样本使用的钓鱼页面。

关联样本的代码基本一致，需要注意的是针对不同的伪冒银行，其会相应的变化C2地址。

另外，对C2地址进行信息查询并比对样本签名时间可以推断出攻击者的恶意行为早在6月底开始准备，而样本传播时间最早于7月13号。

影响面

根据奇安信威胁情报中心大数据统计，该样本7月至10月中旬在国内感染范围31个省份直辖市，感染总设备多至2000台左右，其中山东11.5%、上海6.9%、四川6.7%为全国感染量最多的三个省级地区。

安全建议

• 在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载，国外用户可以在google play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

• 移动设备及时在可信网络环境下进行安全更新，不要轻易使用外来的网络环境。

• 对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎，一般来说普通应用不会请求这些权限，特别是设备管理器，正常的应用机会没有这个需求。

• 确保安装有手机安全软件，进行实时保护个人财产安全；推荐安装奇安信移动安全产品，我司移动安全产品的杀毒引擎已经支持对该家族样本的全面查杀能力。

奇安信移动产品介绍

奇安信移动终端安全管理系统（天机）是面向公安、司法、政府、金融、运营商、能源、制造等行业客户，具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验，从硬件、OS、应用、数据到链路等多层次的安全防护方案，确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信威胁情报中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产，发布环节，为客户提供APP加固、检测、分析等；移动态势感知面向具有监管责任的客户，更加着重于APP的下载，使用环节，摸清辖区范围内APP的使用情况，给客户提供APP违法检测、合规性分析、溯源等功能。

IOC

文件MD5	名称	备注
a0a13324ebf31f2d8c10d00e56fcba42	敏感名称故不展示	伪冒木马
c6ad2a8bf1baa250a58cc1c8974589af	敏感名称故不展示	伪冒木马
a72555d75f772233cce73ba8eb499d1e	敏感名称故不展示	伪冒木马
a91f89a4ec9ecb0380cbc51bc884af6f	敏感名称故不展示	伪冒木马
域名/URL	用途	备注
http://uxsahd[.]com/icbcbank.apk	样本传播	已失效
http://fusaed[.]com/icbcbank.apk	样本传播	已失效
http://sedka1[.]com/icbcbank.apk	样本传播	已失效
http://qctetc[.]com	C2地址	接收窃取数据
http://888boc[.]com/	C2地址	接收窃取数据
https://php.psbc-a[.]cc/	C2地址	接收窃取数据

本文始发于微信公众号（奇安信威胁情报中心）：伪冒国内银行的新窃取木马“BYL”