官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
概述:
疫情还未结束,欺诈者就已经蠢蠢欲动,年中时分,KBuster团伙再次发力,非法获取大量用户数据。
近期恒安嘉新暗影安全实验室通过APP全景态势与案件情报溯源挖掘系统,发现KBuster组织针对韩国地区进行的仿冒金融机构的最新钓鱼活动,此次攻击活动从2019年12月开始持续到2020年8月,攻击者可能来自荷兰。该组织会利用xampp框架搭建钓鱼网站向外传播仿冒APP。经分析发现该类软件具有信息窃取、远程控制和系统破坏的恶意行为。此次攻击活动利用的样本,包名具有明显的相似性;窃取用户信息时,利用FileZilla生成FTP服务器,用于接收用户信息,服务器上绑定有大量的连续ip地址,形成ip地址池,推测用于链接防封,从而稳定地获取用户信息,使用了如此多的网络基础资源,也从侧面印证了该组织财力可观。
1. 程序运行流程图
恶意程序运行主要分为两大功能,第一种功能会仿冒金融结构,诱导用户填写个人信息,利用提示信息诱骗用户拨打电话联系咨询员,并自动监听手机通话状态,利用黑名单来自动挂断指定号码;第二种功能会获取个人敏感信息,包括用户通讯录、短信、通话记录等个人信息上传到指定服务器,还会获取用户保存在SD卡上的各种文件(如doc、xlsx、pdf等),并且有意识的收集韩国本土办公软件的文件(如hwp类型);该软件还留有远控模块,方便日后升级与持续获取信息。
图1-1 程序运行流程图
此次活动,利用的样本包名相似度极高,具有一定的命名规律,都会包含要仿冒的金融机构的缩写和一串数字组成:
图2-1 包名对比
2. 样本基本信息
本次以“현대캐피탈”软件为例进行分析。
程序名称 | 현대캐피탈 |
程序包名 | com.hd7202008056.activity1 |
程序MD5 | 1D937D1E0E95B3258B309EF35CC61F3E |
签名信息 | EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US |
签名MD5 | 8DDB342F2DA5408402D7568AF21E29F9 |
图标 |
|
3. 技术原理分析
3.1 仿冒金融机构
仿冒金融机构的应用图标。
图2-2 仿冒金融机构的应用图标(部分展示))
程序启动后加载本身携带的仿冒界面:
图2-3 加载的仿冒页面
3.2 程序恶意行为
(1)忽略电池优化,保障应用在后台正常运行。
图2-4 忽略电池优化
(2)设置主要服务开机自启,用于进程保活:
图2-5 服务自启
(3)获取手机号码等固件信息经过BASE64加密后进行上传:
图2-6 上传基本信息
(4)获取已安装应用列表进行上传:
图2-6 上传应用列表
(5)监听通话状态,通过黑名单挂断指定电话:
图2-7 挂断指定电话
(6)对外呼电话进行录音并保存本地,等待上传:
图2-8 通话录音
(7)程序留有远控模块,方便后期更新和持续获取信息:
图2-9 解析指令
指令列表:
服务器 | 远控指令 | 对应操作 |
http://110.173.***.10:3500/socket.io | update | 安装升级包 |
x0000mc sec | 设置时间,定时录音并上传,然后删除录音文件 | |
order_x0000lm | 上传地理位置信息 | |
order_x0000cn | 上传通讯录 | |
order_liveSM | 上传短信 | |
liveCallHistory | 上传通话记录 | |
addContact | 插入通讯录联系人 | |
deleteContact | 删除指定通讯录联系人 | |
order_getAppList | 上传应用列表 | |
permission | 请求通讯录、监听短信、读取通话日志、获取精准位置、录音等权限 | |
serverRestart | 重启SmartService | |
file extra=del | 删除指定文件 | |
file extra=all | 上传指定类型的所有文件到ftp服务器 | |
file extra=up | 获取文件 | |
file extra=ls | 获取指定文件列表 | |
file extra=dl | 上传指定文件 |
3.3 上传用户个人信息
(1)程序通过FTP服务器,将获取的用户短信、通讯录、通话记录、录音文件加密后进行上传。
图2-10 获取短信
图2-11 获取通讯录
图2-12 获取通话记录
图2-13 进行上传
(2)该程序包含有三个专门用于接收个人隐私信息的FTP服务器地址,服务器上包含有大量用户数据,根据上传日期判断,最早在2020年5月开始进行收集用户数据。
图2-14 上传的用户数据
图2-15 数据解密
3.4 上传SD卡信息
(1)程序会在SD卡中搜索hwp、doc、docx、dwg、xls、xlsx、ppt、pptx、pdf、eml、msg、email、rar、zip、egg、7z、alz、iso格式的文件进行上传。
图2-16 获取的文件类型
(2)该程序有一个专门用于接收用户文件的FTP服务器:
图2-17 上传的用户文件(包含doc、xlsx、pdf、hwp等文件)
图2-18 FTP通信
4. 服务器溯源
(1)该软件使用的服务器,ip归属地为香港,端口采用3500,首次访问会要求使用websocket协议进行连接。
url:http://110.173.***.10:3500/socket.io
ip地址:110.173.***.10
图3-1 ip归属地
5. 样本信息
MD5 | 包名 |
D391AF6A1DA2A0BBCCFD74FB3773572FC1F564BB | com.hd7202008056.activity1 |
77F4488E0BB62AAC51A59DF7c4C2A74C6F56FE26 | com.aju1202008103.activity1 |
C1456AE93EE7D80A4873F39A71360E51A59A2F12 | com.dws1202008116.activity1 |
8D517CFE95184B943DC16D3C6A0E4F72B3217EB7 | com.hn15202008116.activity1 |
95A8188E38619D1CE60A7E778C7A3A53CA19D71C | com.hd7202008116.activity1 |
09AFAEF467F2C01F65BF3FA2FFBB5FC7B80B6359 | com.jb4202008116.activity1 |
F08844E8CDB9B738CBE5722DC60054978871D256 | com.jtc1202008116.activity1 |
F3F720E673DAF2301361D5A81B564D24DC5C5443 | com.kb38202008116.activity1 |
995EEEBA1D4A9DB38E5D7313481BAA9DD1FC9EFE | com.kbc9202008116.activity1 |
C9DBC9A26363C1D279138AD61A09B13D2E8E655F | com.kbs15202006053.activity |
2028D6BEF399025588D326D9DB400A542FFCBB1F | com.nh1202008116.activity1 |
B12C3BB2E5B0B281F1E9B229FAA8A7F95CBF908E | com.ok10202008116.activity1 |
389A28F63F8F5EC58C5EAFCD218AF5F6C3D5801D | com.sbi3202008116.activity1 |
2ED81CBF395F20BEA5139C33A67602CB2B5C36F1 | com.shs12202008116.activity1 |
URL |
http://110.173.***.10:3500/socket.io |
http://148.66.***.202:3500/socket.io |
http://112.121.***.146:3500/socket.io |
http://112.121.***.178:3500/socket.io |
http://112.121.***.194:3500/socket.io |
http://216.118.***.250:3500/socket.io |
6. 安全建议
让你的设备保持最新,最好将它们设置为自动补丁和更新,这样即使你不是最熟悉安全的用户,你也能得到保护。
坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
安装好杀毒软件,能有效的识别已知的病毒。
- 0 文章数
- 0 关注者