背景
360威胁情报中心近期发现一例针对韩国手机银行用户的黑产活动,其最早活动可能从2018年12月22日起持续至今,并且截至文档完成时,攻击活动依然活跃,结合木马程序和控制后台均为韩语显示,我们有理由认为其是由韩国的黑产团伙实施。
其攻击平台主要为Android,攻击目标锁定为韩国银行APP使用者,攻击手段为通过仿冒多款韩国银行APP,在诱骗用户安装成功并运行的前提下,窃取用户个人信息,并远程控制用户手机,以便跳过用户直接与银行连线验证,从而窃取用户个人财产。
截至目前,360威胁情报中心一共捕获了55种的同家族Android木马,在野样本数量高达118个,并且经过关联分析,我们还发现,该黑产团伙使用了300多个用于存放用户信息的服务器。
由于我们初始捕获的样本中,上传信息的URL包含有一个字段:KBStar,而KB也表示为korean bank的缩写,基于此进行联想,我们认为该团伙实乃韩国银行的克星,即Buster,因此我们将该黑产团伙命名为KBuster。
下面为分析过程。
诱饵分析
在捕获到一批伪造成韩国银行APP的诱饵后,我们首先对APP的图标以及伪造的APP名称进行归类,以便对这个针对安卓手机用户的团伙进行一个目标画像。
主要伪造的韩国银行为以下几家
而当打开其中一个仿照的银行APP后(国民银行),可见界面如下所示:
点击指定页面会显示出对应的营业员照片。
框架分析
由于捕获的安卓样本均使用一套框架,并且变种之间均改动不大,因此我们将其中一个典型样本进行剖析,并总结出KBuster家族APP的具体特征。
样本信息
文件名称
국민은행.apk
软件名称
국민은행(翻译:国民银行)
软件包名
com.kbsoft8.activity20190313a
MD5
2FE9716DCAD75333993D61CAF5220295
安装图标
样本执行流程图如下所示。
该木马运行以后会弹出仿冒为“国民银行”的钓鱼页面,并诱骗用户填写个人信息;
而此时,木马会在后台获取用户通讯录、短信内容并上传至固定服务器,并会在服务器对用户手机进行监控,每隔5秒对用户手机当前状态进行刷新,从而达到实时监控
除此之外,该木马会对用户手机进行远控操作,并可对韩国相关银行等金融行业的369个 *** 号码进行呼叫转移操作从而绕过银行双因素认证,还可以监听手机通话、修改来电 *** 、私自挂断用户来电并拉黑来电号码等操作。
具体代码分析如下
一、获取用户手机通讯录、短信并上传到服务器。
获取用户通讯录:
获取用户短信:
将获取到的用户信息上传到服务器:
服务器配置信息:
上传获取到的用户信息:
二、对用户手机进行远程控制
更该用户手机 *** :
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
