freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Anubis银行木马仿冒抖音国际版攻击活动披露
2019-11-05 11:31:08

概述

Anubis(阿努比斯)是一种主要活动在欧美等地的Android银行木马,其攻击手法主要通过伪装成金融应用、聊天应用、手机游戏、购物应用、软件更新、邮件应用、浏览器应用等一些主流的APP及用户较多的APP进行植入。Anubis自爆发以来,已经席卷全球100多个国家,为300多家金融机构带来了相当大的麻烦。

近期奇安信病毒响应中心,捕获到一款仿冒为抖音国际版“TikTok”的恶意软件,经过分析发现该恶意软件为Anubis木马变种。抖音在国内拥有广大的用户群,甚至可以说异常火爆,对于国内用户来说并不陌生,仅应用宝平台,抖音下载量就达到了5.5亿次,抖音国际版“TikTok”在国外也同样火爆,在国际市场也拥有广大的用户。

应用宝抖音下载量:

图片.png

Google Play抖音相关软件及下载情况:

图片.png图片.png


此次Anubis通过仿冒国际版抖音“TikTok”传播,就是看到了“TikTok”的用户量。虽然被仿冒的为国际版抖音“TikTok” ,但因为各种原因此应用还会被国内用户尝试安装使用,奇安信病毒响应中心移动安全团队通过数据分析确实发现了基于这个渠道导致Anubis木马感染的部分国内用户。

样本分析

Anubis银行木马虽然仿冒的种类繁多,但其核心代码结构并未有较大的改变。Anubis代码核心以远控为主体,钓鱼、勒索等其它功能为辅,目的则为获取用户关键信息,窃取用户财产。

此次发现的仿冒“TikTok”的Anubis木马,其在功能上做了一些改变,并根据实际的需求,增加及优化了一些功能。

仿冒“TikTok”的运行界面:

图片.png 

通过拼接URL下发远控指令:

图片.png图片.png

 

远控指令片段:

图片.png 

主要远控指令与指令对应功能:

主要远控指令指令对应的功能
state1letsgotxt设置
ALLSETTINGSGO配置相关信息
Send_GO_SMS发送短信
nymBePsG0获取手机通讯录
GetSWSGO获取手机短信
|telbookgotext=获取手机通讯录
getapps获取已安装APP
getpermissions获取响应的权限
startaccessibility申请可访问性
startpermission启动权限
=ALERT|设置警报
=PUSH|打开钓鱼页面
startAutoPush根据不同国家,弹出不同钓鱼信息
RequestPermissionInj请求注入权限
RequestPermissionGPS获取地理位置
|ussd=向指定号码打电话
|sockshost=连接服务器
stopsocks5Stop socks
|recordsound=录音
|replaceurl=替换URL
|startapplication=启动应用程序
killBot杀死进程
getkeylogger获取键盘记录
|startrat=获取新操作指令
 opendir:列出所有文件
 downloadfile:下载文件
 deletefilefolder:删除文件
 startscreenVNC开启远控
 stopscreenVNC关闭远控
 startsound开始录音
 startforegroundsound开启前景声音
 stopsound关闭录音
startforward=开启呼叫转移
stopforward关闭呼叫转移
|openbrowser=打开浏览器
|openactivity=打开URL
|cryptokey=加密文件
|decryptokey=解密文件
getIP获取用户IP地址

影响分析

通过木马下发指令及回传数据的域名:tratata.space,注册于2019年6月26日。基于奇安信威胁情报中心的数据,发现目前受害者大多均来自俄罗斯,国内也有用户中招。

图片.png 

同源分析

自Anubis爆发以来,我们一直对其进行着监控。我们发现近年来Anubis主要代码结构并没有经过大的改动,但每次新的变种都会在功能上有相应的改动,增加或者优化一些功能。其投递方式及仿冒的类型,一直是优先Google Play投放,仿冒当下流行的应用及金融应用。

Anubis代码结构演变:

图片.png


经过了加固处理的代码结构:

图片.png 

此次仿冒抖音代码结构:

图片.png

盘古团队的Janus移动安全威胁信息平台中发现如下仿冒的主要图标:

图片.png 

总结

Anubis银行木马主要市场原本在中国以外,但是随着国内网民对互联网技术的进一步熟悉尝试安装一些国外来源的应用,此次通过仿冒国际版抖音“TikTok”导致了部分国内用户受到了影响。

在此我们提醒广大用户,去正规的平台下载手机应用,将风险降到最低,从而可以防止用户个人信息、财产被盗的风险。奇安信病毒响应中心移动安全团队会保持对Anubis最新变种的跟踪,PC及移动终端安全产品支持对于此类威胁的及时查杀。

IOC

940F562DED0DD9**8235FB9EA738F405

 

http://tratata.space/private/checkPanel.php 

http://tratata.space/private/settings.php

http://tratata.space/private/add_log.php

http://tratata.space/private/set_location.php

http://tratata.space/private/getSettingsAll.php

http://tratata.space/private/setAllSettings.php

http://tratata.space/private/getDataCJ.php

http://tratata.space/private/setDataCJ.php

http://tratata.space/private/add_inj.php

http://tratata.space/private/locker.php

http://tratata.space/private/datakeylogger.php

http://tratata.space/private/sound.php

http://tratata.space/private/playprot.php

http://tratata.space/private/spam.php

 

参考

https://ti.qianxin.com/blog/articles/anubis-android-bank-trojan-technical-analysis-and-recent-activities-summary/

# 银行木马 # 抖音 # anubis
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者