Operation Emmental:攻击移动银行用户的犯罪行动

2016-01-28 +7 165812人围观 ,发现 1 个不明物体 终端安全资讯

想像一下这样一个情景:你的“银行”来了一个通知,给你一个链接让你下载并更新你的手机应用。下载了应用后,它会向你请求获取管理权限。

通知里会提到这一点,但你还是很痛快地点了允许。该应用能正常运行,还能进行正常的交易。但是第二天,你会发现你的手机打不开了,解锁屏幕的密码一直错误。这时你并不知道发生了什么事,因为手机一直在手里,没有借给熊孩子,也没有被隔壁老王顺走。然而你无论怎么尝试破解密码,就是解锁不了。然而就在你花了一整天时间去解锁手机时,已经有人将你的银行账户清空了。

2014年,我们发现名为Operation Emmental的犯罪行动,行动中的恶意软件专门拦截短信,劫持用户的手机银行。最近,我们研究人员就遇到了上述类型的恶意应用,它还允许黑客远程发出命令,通过短信重置用户密码。该应用可以暂时锁定用户设备的主屏,拖延用户开锁的时间,黑客可以在此期间攫取用户银行里的金钱。

伪装成OTP生成器

类似于前面Operation Emmental里的应用,最近有新的版本的假冒银行应用,它能生成一次性密码(OTP)。我们已经检测到了伪装成奥地利银行官方应用的样本:

事实上,所谓的随机一次性密码,只是从一个静态的列表里随机选择的。一旦恶意软件被激活,它会静默定期运行以下任务:

下载并解析配置文件
检查并确保CC服务器预设URL是可用的,
在中毒的手机和远程黑客之间,通过BlowFish算法进行通信
将存储的短信发送出去

恶意软件会在用户不知情的情况下,访问特定的URL或者联系特定的电话号码。根据黑客的偏好,恶意应用会实时通过短信发送消息给黑客,或者通过互联网选择延时发送。这些URL或者号码存储在一个配置文件MainPref.xml里,黑客可以随时操作配置里面的内容:

运行时,下面的URL都是带USE_前缀的:

USE_URL_MAIN 获取配置的源

USE_URL_SMS 除了拦截发送给用户的消息,这个恶意软件也能够通过短信接收命令。当手机收到短信时,恶意应用会检查是否能控制命令。比如“LOCK”,会重置用户的锁屏密码,黑客可以远程实时重新配置。设备管理API目前只支持字母数字的密码。记住,如果一个应用试图取得管理权限,你就应该开始怀疑该应用的合法性了。

一旦黑客修改了密码,受感染的手机可能在一定时间内不能使用。黑客可以用“UNLOCK”轻松解锁,然后再随时重新锁上手机屏。

黑客可以锁定一个受害者的手机,让他们在不知觉中转走受害者银行账户里的钱,而收不到银行来的提醒。

黑客会利用热门网站名字作为简写的命令,GOOGL表示设置拦截发送的短信,GOOGLE会删除手机号,停止拦截短信。YAHOO会设置CC的URL,开始发送拦截的短信:

因为黑客可以远程推送字符串到受害者的移动设备上,所以我们建议用户及时备份。用户应该在设备上安装安全软件,以便及时检测这些恶意程序。

URL和相关的SHA1 hash附录,请戳这里

*参考来源:趋势,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 1 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 418 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php