欺骗合法的移动应用程序是一种常见的网络犯罪模式,它们依赖于用户的信任来窃取信息或交付有效载荷。网络犯罪分子通常使用第三方应用程序市场来分发他们的恶意应用程序,但在分发诸如CPUMINER、BankBot和MilkyDoor的操作中,他们也尝试将其应用程序发布到Google Play或App Store上。我们还看到其他人采取了一种更加微妙的方法,其中涉及短信诈骗(SmiShing)将潜在受害者引导至恶意网页。例如,我们最近观察到一起活动,使用SMS作为切入口,交付一个信息窃取器,被我们命名为“FakeSpy”(由趋势科技检测为ANDROIDOSUFAKEPSY.HX)。
FakeSpy能够窃取短信,以及存储在受感染设备中的账户信息、联系人和通话记录。FakeSpy也可以充当银行木马(ANDROIDOS_LOADGFISH.HRX)的载体。虽然目前这种恶意软件仅限于感染日语和韩语用户,但如果FakeSpy的作者主动积极地调整恶意软件的配置,我们不会感到惊讶。
攻击链
潜在受害者首先会收到一个伪装成合法信息的手机短信,来自一家日本物流运输公司,敦促收件人点击短信中的链接,如图1所示。该链接会将其重定向到恶意网页,点击任何按钮都会提示用户下载Android应用程序包(APK)。该网页还提供了一份用日语编写的指南,介绍如何下载和安装该应用程序。
图1:包含恶意软件链接的短信示例
进一步分析表明,该活动也针对了韩语用户,并自2017年10月以来一直活跃。对于韩语用户来说,窃取信息的恶意软件作为一些本地消费金融服务公司的应用程序出现。当针对日语用户时,它伪装成运输、物流、快递和电子商务公司、移动电信服务和服装零售商的应用程序。
图2:包含关于下载和安装应用程序指南的恶意网页
图3:韩语(左)和日语(中、右)恶意应用程序的屏幕截图
技术分析
FakeSpy的配置,如命令和控制(C&C)服务器,是加密的,以逃避检测。一旦启动,FakeSpy将开始监控受感染设备收到的短信。这些短信被窃取并上传到C&C服务器。为了通过JavaScript发送命令,FakeSpy还会滥用JavaScript bridge( JavaScriptInterface),从远程网站下载并运行JavaScript来调用应用程序的内部功能。FakeSpy的命令包括向设备添加联系人、将其设置为静音、重置设备、窃取存储的SMS消息和设备信息,以及更新其自身的配置。
图4:FakeSpy的加密配置
图5:FakeSpy如何将窃取的短信上传到C&C服务器
图6:FakeSpy使用JavaScriptInterface发送命令
图7:攻击者发送命令更新以FakeSpy配置的流量
FakeSpy充当银行木马的载体
除了信息窃取之外,FakeSpy还可以检查安装在设备中的与银行相关的应用程序。如果它们与FakeSpy感兴趣的应用程序相匹配,那么它们将会被模仿其用户界面(UI)的虚假版本所替换。窃取信息的方式极具讽刺意味,虚假版本通知用户需要输入他们的凭证,这是因为应用程序的升级是为了解决信息泄露。通知还警告用户,他们的账户将被冻结。一旦用户点击登录按钮,被窃取的信息就会被发送到C&C服务器。除了网上银行应用程序之外,它还检查用于数字货币交易和电子商务的应用程序。
图8:代码快照显示了FakeSpy检查与银行业务相关应用程序,并用虚假版本替换它们
图9:钓鱼用户银行凭证的恶意应用程序的用户界面(UI)
图10:显示恶意应用程序如何窃取银行凭证的代码片段
逃避检测
FakeSpy的作者使用了不同的方法来隐藏和更新C&C服务器。它滥用社交媒体,将IP地址写入其定期修改的Twitter配置文件中。IP地址以“^^”开头并以“$$”结尾。当FakeSpy启动时,它将访问Twitter页面并解析其内容以检索C&C IP地址。FakeSpy的作者也以类似的方式滥用论坛和开源动态域名工具。为了进一步逃避检测,配置到应用程序中的C&C服务器地址每天至少更新一次。同样值得注意的是,FakeSpy背后的网络犯罪分子是活跃的,基于他们在论坛上的活动以及他们注册的相关URL来托管他们的恶意软件。
图11. FakeSpy访问获取C&C IP地址的Twitter页面
图12:FakeSpy使用论坛(上)和动态域名工具(下)来隐藏C&C服务器
最佳实践
SMiShing并不是一种新颖的攻击向量,但通过社交工程,它可以引诱或迫使受害者泄露个人或企业数据,或将他们引导至托管恶意软件的网站。用户应该养成良好的安全习惯:在点击之前思考、仅从官方应用商店下载、并定期更新凭证以及设备的操作系统和应用程序。检查是否存在网络钓鱼的迹象,例如用于欺骗合法网址的语法错误或某些特殊字符,更重要的是,要警惕那些似乎给人一种不必要的紧迫感的非请求消息。
我们已经与受影响的组织就这一威胁进行了协调。本附录列出了与FakeSpy相关的妥协指标(IoCs)。
审核人:yiwang 编辑:边边
发表评论
您还未登录,请先登录。
登录