IBMX-Force研究人员发现新的Android木马Banker.BR家族，其利用屏幕覆盖攻击针对使用西班牙语或葡萄牙语（包括西班牙、葡萄牙、巴西和拉丁美洲其他地区）的银行客户，企图窃取用户凭证并盗取其账户。研究发现，该恶意软件的早期版本仅具有基本的SMS窃取功能，但是Banker.BR更为精细，具有覆盖攻击的功能并且有全新的代码，不依赖于先前泄漏的代码或现有的移动恶意软件。近期，恒安嘉新暗影安全实验室在日常监控中，发现一批“Banker.BR”家族银行木马新变种，这些木马程序主要针对桑坦德、玻利维亚、法希尔、西班牙等13家银行客户端实施网络钓鱼攻击，绕过银行双因子验证。程序运行后，通过网络钓鱼手段窃取用户银行相关的账号和密码，再上传用户手机短信验证码，盗取用户的资金。

1. 样本概况

程序名称： 2020NovoeBan

程序包名： pt.bn2020.ptz

样本签名 ：

CN=AnywhereSoftware,O=Anywhere Software,C=US

证书MD5 ：

0D304D8EB39B8494962603CDE0CD9052

图1 程序安装图标

2. 样本分析

该样本运行后，会采用界面劫持，网络钓鱼的手段骗取用户的账号和密码，然后监听手机短信，屏蔽短信广播，使用户接收不到短信提醒，最后，上传用户短信内容、银行账户，密码等个人隐私到远程服务器，还有程序会通过后台服务、电源锁等保证进程不被系统杀掉；通过对手机静音、屏蔽短信广播等方式防止被用户察觉；通过设置定时任务发送心跳包监控程序运行状态，达到持久化监测用户手机。

行为示意图如下：

图2 行为示意图

2.1恶意行为持久化

程序通过后台服务、电源锁等保证进程不被系统杀掉；通过对手机静音、屏蔽短信广播等方式防止被用户察觉；通过设置定时任务发送心跳包监控程序运行状态，达到持久化利用用户手机的目的。

图3 恶意行为持久化

设置电源锁

程序通过设置电源锁，使程序在CPU中能持续运行。

图4 设置电源锁

定时发送心跳包

程序设置了定时任务，任务内容为每分钟访问指定链接，该链接参数中带有用户设备的ID，可用于识别。

图5 设置定时任务

图6 上传用户设备ID

心跳包截图：

图7 心跳包

2.2窃取用户短信

程序注册监听器，监听手机短信，当来短信后屏蔽短信广播，使用户接收不到短信提醒，同时上传短信内容到服务器。

图8 获取并上传用户短信息

读取最新收到的短信：

图9 接收用户短信

上传短信内容到服务器：url：http://186.***.91.100/controls/nb/sms.php?apelido=。

图10 上传接收的短信息

2.3获取钓鱼网页

程序通过访问硬编码url的方式，获取钓鱼网页地址。通过这种方式，控制者可以随时更换钓鱼页面：

http://186.***.91.100/extras/nb_link_lyly.txt

图11 获取钓鱼页面

2.4启动钓鱼页面

程序加载从服务器获取的钓鱼链接，启动网络钓鱼，程序可以从钓鱼页面获取用户账号及密码等信息。

图12 加载钓鱼页面

3. 溯源分析

3.1服务器分析

通过样本分析，我们得到了一个IP地址186.***.91.100，归属地位于巴西，通过反查IP域名，获取到19个曾经绑定过的子域名，同时发现多个后台地址，从后台界面中可以看到多个金融机构的标签，表明攻击者对接收到的数据进行了相应归类。

子域名

后台地址http://186.***.91.100/index.phphttp://186.***.91.101/index.phphttp://ns1.glad***ijoux.com.br/

图13 服务器登录界面

后台界面各金融机构的标签：

图14 服务器后台

相关的服务器信息列表

3.2传播链接分析

通过恒安嘉新 App全景态势与案件情报溯源挖掘平台分析，发现一条传播链接和疑似后台服务器日志，通过时间点分析，发现攻击者可能来自巴西。

传播链接：https://sis-ptc***stro.com/app/BPI_Security.apk。查看域名信息，注册时间为2020年4月14日：

图15 传播地址域名信息查询

查看该地址的登录日志发现，第一条访问时间为2020年4月14日，由此推测第一条访问ip可能来自攻击者：

图16 登录日志信息

图17 IP归属地

3.3同源性分析

在恒安嘉新 App全景态势与案件情报溯源挖掘平台上，通过应用名称、包名等特征关联搜索相关样本，发现平台上存在一批与当前样本同源的样本，总体上可以分为两类，一类与本文阐述的行为相同，另一类样本对功能进行了改进。该类恶意程序代码结构、包名及其类似，极有可能是同一批人在持续开发传播。

图18 同源样本信息

新增的功能

（1）增加了无障碍服务权限，诱导用户授予该权限，程序可以监控手机界面。

图19 请求无障碍服务

（2）将从网络获取指定的钓鱼页面改进为自带钓鱼界面，根据不同的应用，启动相对应的钓鱼界面。

根据不同的应用，展示对应的仿冒界面：

图20 钓鱼页面列表

（3）界面劫持验证

以BBVA应用为例进行测试，恶意程序能够成功覆盖原APP界面，效果如下所示：

图21 界面劫持

1. 总结

从这类样本的行为特征来看，主要针对桑坦德、玻利维亚、法希尔、西班牙等13家银行客户端实施网络钓鱼攻击，绕过银行双因子验证。通过网络钓鱼手段窃取用户银行相关的账号和密码，再上传用户手机短信验证码，最终目的是盗取用户的资金。是一种具有针对性钓鱼攻击行为，后续暗影实验室会持续关注此类样本的新进展

在此，暗影实验室提醒大家，不轻易相信陌生人，不轻易点击陌生人发送的链接，不轻易下载不安全应用。

• 安全从自身做起，建议用户在下载软件时，到正规的应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害；

• 很多用户受骗正是因为钓鱼短信的发件人显示为10086、95588等正常号码而放松安全警惕导致中招，运营商需要加强对伪基站的监控打击力度，减少遭受伪基站干扰的几率；

• 各大银行、各支付平台需要加强对各自支付转账渠道的监管，完善对用户资金转移等敏感操作的风控机制，防止被不法分子利用窃取用户网银财产;

• 警惕各种借贷软件的套路，不要轻易使用借贷类App。

恒安嘉新（北京）科技股份公司是具有“云—网—边—端”整体解决方案的通信网安全领军企业，专注于网络空间安全综合治理领域，主营业务是向电信运营商、安全主管部门等政企客户提供基于互联网和通信网的网络信息安全综合解决方案及服务。

“没有网络安全就没有国家安全。”网络空间是国家**的新疆域，网络空间安全事关国家安全和国家发展，是把我国建设成为网络强国的有力保障。基于安全与业务的伴生性以及威胁的复杂性，政府、电信、金融、能源等领域对于网络空间安全综合治理产品均存在广泛而迫切的需求。为此，公司自主研发了具有网络空间安全监测预警、威胁研判、追踪溯源、态势感知和应急处置等能力的产品，可用于构建支撑全天候全方位的网络空间安全态势感知和防御体系。

公司是国家高新技术企业，以“支持国家、服务社会、助力行业、合作共赢”为经营理念，矢志成为网络空间安全基础能力的搭建者和网络空间安全生态的引领者。凭借多年的技术和经验积累、卓越的产品和服务质量以及良好的品牌形象和业界口碑，公司产品广泛布局在除港澳台外全国 31 个省、自治区和直辖市，为安全主管部门和电信运营商监测核心网、骨干网、城域网近 2,000 个核心网络节点。基于采集点的广泛布局和安全技术的长期积累，公司的网络安全数据采集和分析效率位居行业前列，公司为电信运营商和安全主管部门提供的网络安全数据实时分析能力超过 300Tbps。

公司连续五届入选 CNCERT “网络安全应急服务支撑单位（国家级）”，并为“十九大”、“两会”、G20 杭州峰会、世界互联网大会、“一带一路”峰会、上合峰会、金砖国家领导人峰会、中国国际进口博览会等提供国家级网络安全保障服务；同时，根据 CNCERT 于 2018 年 6 月发布的考核结果，公司是仅有两家考核等级为优的国家级支撑单位之一。此外，公司也是“国家网络与信息安全信息通报机制技术支持单位”、“工业信息安全应急服务支撑单位”，参与建设了“计算机病毒防御技术国家工程实验室研究室”和“计算机病毒防治技术国家工程实验室”，在网络空间安全领域拥有突出的行业公信力和品牌影响力。

公司高度重视自主研发能力的培育和建设，并围绕互联网和通信网一体化的海量数据实时处理技术、具有深度学习能力的智能安全引擎技术 、“云—网—边—端”综合管控技术等三大核心技术，构建了自主可控的知识产权体系和产品体系。截至 2019 年 3 月，公司共申请发明专利 46 项，其中 6 项已取得专利权（含1项美国专利）；拥有计算机软件著作权 58 项和作品著作权 2 项；参与制定多项国家、行业、团体标准，其中 15 项行业标准已完成发布。