前言

近期，腾讯安全反欺诈实验室发现一批伪装日韩快递窃取一些韩国金融机构客户使用的身份验证信息银行拦截木马，病毒木马伪装成韩国CJ 대한통운택배“DJ“快递，日本佐川急便“急便”快递等方式诱导受害者进行安装，通过隐藏图标潜伏在用户手机，对受害人的手机远程控制，盗取受害人手机的敏感信息，激活设备管理器导致无法卸载，最后通过监控手机的银行短信验证码，实现窃取用户银行卡里的金钱。

腾讯安全反欺诈实验室通过对国内外银行木马的监控和数据研究，并通过本报告对日韩银行木马与国内银行木马的差异及其变化趋势进行总结。

日韩银行木马特性与趋势如下：

l  日韩银行木马伪装快递类应用，以此诱骗用户下载安装

l  韩国银行木马威胁相比日本更为严重，占比达84%+；同时日本银行木马近期出现高速增长

l  日韩银行木马低端手机更容易中招

l  日韩银行木马攻击能力多样化诈骗风险形势无法缓解

l  日韩银行木马攻击目标多样：银行类、密码类、游戏类、贷款类

l  银行木马病毒紧跟热点、与时俱进的诈骗手段也日趋多样化

一、影响面分析

日韩银行木马以伪装韩国“DJ“快递占比最大，伪装日本“急便”快递高速增长

日韩银行木马大量通过伪装快递类应用，诱骗用户安装运行。其中，以伪装韩国“DJ“快递的应用数量最多，占比达84%。而伪装日本“急便”快递的银行木马也在高速增长中，8月爆发增长74.81%。

日韩银行木马低端手机更容易中招，中招人群多集中在一线城市

日韩银行木马病毒感染的手机更多集中在2000元以下的低端机器中——受感染手机中价格2000元以下占比51.37%；

二、病毒技术演进分析

日韩银行木马免杀技术多样化演进

在手机自身安全能力和手机安全软件拦截能力全面提升的情况下，病毒类型也持续朝着多样化隐秘化方向发展，通过各种壳、动态加载等对抗技术绕过安全软件的查杀。

日韩银行木马融合多种特征向高危化演进

日韩银行木马对手机用户隐私数据（手机信息）上传、隐私数据（联系人信息）隐私“青睐”有加，通过社会工程学诈骗获取用户的个人银行卡、身份证、姓名、手机号码，把用户手机变成“肉鸡”,悄无声息盗走用户网银或第三方支付账号的资金。

日韩银行木马攻击目标紧跟热点、与时俱进的诈骗手段也日趋多样化

日韩银行木马在攻击目标上略不同于国内银行木马，其攻击目标更多集中在日韩网民网络资产所在的银行、游戏、动态令牌上。

同时，在仿冒对象选取上，日韩伪装APP较为单一，主要为快递类APP，而国内则多种多样，社工能力更强，更具有欺骗性。

三、最新病毒技术详细分析

1 获得应用锁，使系统持续保持唤醒亮屏状态

2 监听短信状态、网络状态、电量状态、解锁屏状态、电话状态、Wifi扫描状态、应用包是否增加去除和手机屏幕状态并注册监听器

3 获取存储在手机中的电子账户信息，如DNF账号、MU Origin账号、Axe账号等一系列韩国手游账号通过AccountManager. getAccounts方法获取存储在手机中的电子账户信息

4 获取手机中存储的电子邮件信息

5 过方法isIgnoringBatteryOptimizations检测软件是否在白名单中，并通过REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限直接弹出一个系统对话框让用户直接添加软件到白名单中，在白名单中的软件可以在 Doze和App Standby模式下使用网络和唤醒锁

6 日韩银行木马运行截图：

四、解决方案与安全建议

针对个人用户，我们建议：

Ø  保护个人隐私信息，不轻易向他人透露个人信息

Ø  提高对陌生电话、短信的警惕性，勿轻信其中内容

Ø  二维码依旧是主要的染毒渠道之一，切勿随意扫码

Ø  移动支付需谨慎，避免在不明网络环境下进行移动支付

Ø  通过正规安全的渠道下载官方版支付、工具、游戏等手机应用

Ø  手机网购安装使用腾讯手机管家保护网购支付安全,还支持钓鱼网址拦截，防止用户上当受骗

Ø  安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

清理方案

手机用户可下载安装如腾讯手机管家一类的手机安全软件，定期给手机进行体检和病毒查杀，并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞，可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能，可有效拦截诈骗电话、短信，提升手机安全。

同时，面向设备厂商，腾讯反诈骗实验室基于对银行木马诈骗手段的深入了解，和与银行木马诈骗黑产的持续对抗，腾讯反诈骗实验室积累了大量的诈骗网站、银行木马诈骗病毒识别能力。

依此，腾讯反诈骗实验室针对银行木马诈骗流程，提供一套完整的银行木马诈骗检测方案，层层布防，帮助厂商更好的保障用户安全：

Ø 事前拦截--URL网址检测：在浏览器打开前对URL网址链接页面内容属性检测

Ø 事后防御--下载应用检测：浏览器下载apk应用时，下载前把网址和apk信息做云查信息检测

方案优势

在病毒检测方面，为应对未来严峻的安全挑战，腾讯安全立足终端安全，推出自研AI反病毒引擎——腾讯TRP引擎，TRP引擎通过对系统层的敏感行为进行监控，配合能力成熟的AI技术对设备上各类应用的行为进行深度学习，能有效识别恶意应用的风险行为，并实时阻断恶意行为，为用户提供更高智能的实时终端安全防护。

而在网址检测方面，根据长期对黑产数据的监控和累积，腾讯反诈骗实验室每天能从互联网百亿级别的活跃网址中发现百万级别的欺诈网站，并形成活跃恶意网址库，截止目前，网址库里已有一亿条以上的各类欺诈、钓鱼网址信息。

在基于掌握这些亿级体量的黑产数据之后，腾讯反诈骗实验室形成了一套云管端的立体全景式防御体系：终端保护方面，主要针对包括QQ、微信、浏览器等腾讯的各种终端产品，会对恶意网址库里的网站做拦截，保护网民上网安全；在流量管道方面，通过和运营、公安部门合作，在运营商渠道对欺诈网站做拦截；云端，通过公有云和私有云解决方案，在接入的合作伙伴产品里对欺诈网站做风险提示。

目前接入腾讯网址安全云库的合作伙伴已达上百家，如苹果、华为、OPPO、VIVO、三星等。

附录：

日韩银行木马攻击目标应用包名：

.  com.ep****f.sdsi

.  com.han****android.hananbank

.  com.*****banking

.  com****kbbank

.  com.****bsmb

.  com.sc.****scbankapp

.  com.****sbanking

.  com****spbs

.  com.****pib.smart

.  nh.****art

.  com.****.android.uotp2

.  kr.co.****.neopleotp

.  com.****.dfm

.  com.web****rigin.google

.  com.nc****gem

.  com.nc****gem19

.  com.****xe

.  com.****play

.  kr.co.happy****money 

日韩银行木马MD5:

a5cb6cd8****71a0b596d3f

b66dc5d****afdd7ea816fb3

289020d8****bd903a82b6c93

09d6c93****07e6c14747a2

fde79b0****e2c3744c0ad

eccf9717****65d7a73dee

30bd26****9379cf5c31e

944e9d77****9bb9d94ac7

05b0b****7199fa74e3e2

050ea20****86ded53bb

*本文作者：腾讯手机管家，转载请注明来自FreeBuf.COM