韩国金融诈骗移动端最新恶意软件分析
2023-12-29 10:50:24 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

摘   要

近日,奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。
恶意软件远控架构是基于“AhMyth-Android-RAT”工具进行升级改造。
实现语音钓鱼、电话拦截、通讯录操作、短信操作、通话记录删除等高危功能。
利用各个金融机构的客服电话和服务语音进行钓鱼诈骗。
恶意软件具有很强的破坏力,受害者一旦被感染,几乎失去了设备的控制权,很难再辨别信息的真实性,容易给自己造成财产损失。

关键词:金融诈骗、AhMyth-Android-RAT、语音钓鱼、电话拦截、通讯录操作

概述

近日,奇安信病毒响应中心移动安全团队监测到一批伪装成韩国新韩储蓄银行的恶意软件。移动端针对韩国的金融类诈骗由来已久,韩国相关金融安全机构也相当重视,但随着恶意软件的不断升级,其功能在不断增强,攻击变得精细而复杂,对用户造成的威胁也与日俱增。

软件分析

在此次监控到的恶意软件中,经过技术分析,该恶意软件远控架构是基于“AhMyth-Android-RAT”工具进行的升级改造,具有强大的设备控制功能,可以进行语音钓鱼、电话拦截、通讯录操作、短信操作、通话记录删除等高危操作。下面就以最新发布的伪装成新韩储蓄银行的恶意软件为例,结合其恶意行为关键点进行分析。

PART 01

权限申请

同于一般的Android RAT,此恶意软件也将targetSdkVersion降低至21,注册申请30+个权限,包含短信、联系人、通话、录音等相关高危权限。恶意软件启动后,申请权限及低本提示截图如下:    

PART 02

远控功能列表

因恶意软件远控框架基于“AhMyth-Android-RAT”,所有包含其原生指令功能,具有摄像头操作、短信关联、联系人管理和获取实时定位等功能。远控功能列表如下:

Order

Operation

Order

Operation

x0000ca

拍摄照片

x0000cl

获取通话记录

x0000fm

收集文件

x0000sm

获取/发送短信

x0000cn

获取联系人

x0000lm

获取定位

x0000mc        

控制麦克风



在使用“AhMyth-Android-RAT”工具原生远控功能的同时,为了更好的控制受害者设备,达到提高金融诈骗成功率的目的,进行了更加精细化的远控功能定制,并创建本地数据库,管理维护forward(转发)、black(黑名单)和log(日志) 3张表。远控功能列表如下:

Order

Operation

Order

Operation

ForwardStatChange

更新noForward序列化状态值

deleteLogs

删除log表数据

addContact

插入联系人

deleteThirdApp

卸载第三方软件

deleteContact

删除联系人

endCall

挂断电话

addForward

向forward表插入数据

forwardList

更新全部forward表数据

deleteForward

从forward表删除数据

forwardListStatusChange

更新forward某条数据状态

addNewBlackList

向black表插入数据

getCurrentStatus

获取当前noForward状态值

blackListStatChange

更新黑名单状态

getDefaultDialer

获取设备默认拨号器应用

deleteBlackList

删除黑名单

getLogs

获取日志

deleteCallLogById        

通过Id删除通话记录

getThirdAppList

获取应用设备列表

liveCallHistory

获取通话记录

multiCommand

执行shell命令

liveSM

获取短信

singleCommand

执行shell命令

resetForwardList

重置forward表

resetForwardNumber

重置forwardNumber序列化的值

setRingMode

设置设备响铃模式

setForwardNumber

设置forwardNumber序列化的值

setBlackList

重置black黑名单表

setFakerCall

设置fakerCall序列化的值

startStreaming

开启音视频通话

stopLiveRecord

关闭录音

stopStreaming

关闭音视频通话

switchCamera

切换摄像头

PART 03

行为技术分析

  该恶意软件窃取受害者隐私信息,通过社工和远程控制设备,迫使受害者闭目塞听,一步步进入诈骗的陷阱之中,下面就其关键行为技术进行分析。

(一)加载伪装页面  

主Activity会加载资源文件中静态资源html文件,伪装成银行界面。Webview加载资源代码及显示页面分别如下:    

    

           

(二)语音钓鱼  

在资源文件下,包含有众多的语音文件,它们索引在一个“kkdata.dat”的文件中,该文件分别存储了各个金融机构的各项业务的客服电话和对应服务语音名称。资源列表及信息关联截图如下:

(三)拨出电话拦截  

为了防止受害者对诈骗信息进行验证,该恶意软件可以监听拨出电话进行拦截。挂断电话代码截图如下:    

(四)删除通话记录及联系人  

恶意软件具有拨打电话功能,为了隐匿其行为,它会删除特定通话记录及联系人。实现代码截图如下:

 

(五)短信管理  

获取所有短信信息,以便实施社工攻击,并具有发送特定短信功能,实现代码截图如下:    

(六)音视频通话  

恶意软件不仅具有预设的语音文件,还具有通过远程控制开启在线音视频通话的功能,音视频通话代码截图如下:

网络资产分析

此次分析的恶意软件家族样本中,除AhMyth工具用于远控控制的服务器外,还有专于金融诈骗业务中信息上传和音视频通话的服务器,使用Base64编码硬编码在样本中。

PART 01

AhMyth主控地址分析

AhMyth主控地址ip为“103.93.79.32”,此ip已被多家安全厂商识别,在奇安信威胁情报中心平台查到其关联ahmyth家族样本近百个:

PART 02

金融诈骗主控地址分析

恶意软件中用于金融诈骗业务的主控地址ip为“123.253.109.129”,用于上传如用户设备默认拨号器应用、通话记录等信息和音视频服务。服务器位于日本东京,奇安信威胁情报中心平台已将其识别为远控木马服务器:    

总结

此次发现的韩国金融诈骗类恶意软件,具有很强的破坏力,受害者一旦被感染,几乎失去了设备的控制权,很难再辨别信息的真实性,容易给自己造成财产损失。针对特定人群如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:

及时更新系统和应用,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

不轻易开启Root权限;对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用基本没有这个需求。

确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

目前,基于奇安信自研的猫头鹰引擎、QADE引擎和威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、奇安信天狗漏洞攻击防护系统、天擎、天机、天守、天眼高级威胁检测系统、奇安信NGSOC(态势感知与安全运营平台)、奇安信监管类态势感知等,都已经支持对此类攻击的精确检测。

PART 01

IOCs

MD5

3b08a37f6ecfe79eb1c90cacaaa5d2ce

add6ddf5b6dd36bd3103f4d7c16af0cb

21eae46bd2605e5bea6db9a3954c8e85

45c2d6efaa531fbe4c4814571857c10a

ddb4d35e938d5286c82407363e09e80f

6a466405f1d5cc84fc85f899220d54e9

C&C

103.93.79.32:9000

http://123.253.109.129:8702

rtmp://123.253.109.129

PART 02

附录1奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。

结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

奇安信病毒响应中心负责支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒事件、参与重大活动安全保障工作,受到客户的高度认可,提升了奇安信在业内的品牌影响力。

PART 03

附录2奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。

通过其内部分析系统可以有效支持对溯源分析等追踪。团队结合自研QADE引擎和高价值移动端攻击发现流程已捕获到多起移动攻击事件,并发布了多篇移动黑产报告,对外披露了多个APT组织活动。近三年来已首发披露五个全新APT组织(诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard、金刚象组织VajraEleph和沙猁猫组织Caracal Kitten)。

未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5Mzg5MDM3NQ==&mid=2247493574&idx=1&sn=72bea97b8454dff1d1ce63ff1beed321&chksm=ec6997eedb1e1ef862155d09de09b0dcbbdf6df6816b7a1d40472fba861d40ae2a07a9f656fd&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh