手機(jī)銀行是一種非常便捷的方式讓用戶可以隨時(shí)隨地的完成交易。KPMG預(yù)測手機(jī)銀行用戶在2019年會(huì)增長到1.8億,。但是,，隨著手機(jī)銀行涉及的金錢數(shù)額越來越大，攻擊者要找到更多創(chuàng)造性的方式來竊取金錢,。

就在上周,，新加坡銀行協(xié)會(huì)（ABS）發(fā)布了公告稱手機(jī)銀行惡意軟件感染安卓智能機(jī)的數(shù)量大幅上升。我們很有興趣深入研究這種新興的威脅,，之后我們發(fā)現(xiàn)了一個(gè)目標(biāo)是手機(jī)銀行app的安卓惡意軟件,，于是我們對它展開了進(jìn)一步研究。

安裝

這種移動(dòng)端惡意軟件通過其他惡意軟件-一個(gè)獨(dú)立的app或者用戶登入惡意網(wǎng)站時(shí)進(jìn)行他們不了解的下載更新進(jìn)入到用戶的手機(jī)中,。

目前為止,，我們把所有遇到的偽裝過的樣本歸結(jié)命名為假冒的Adobe Flash Player，這個(gè)名字并不奇怪,，大家都知道”Adobe Flash Player”這個(gè)梗（這個(gè)東西今年被曝出很多漏洞啊,，還有0day什么的，大家都懂的）,。Adobe Flash Player所需的權(quán)限要比同類普通應(yīng)用高的多（事實(shí)上,，在某些情況下安卓并不支持它）。Player最引人注目的權(quán)限就是被激活為設(shè)備管理員,，也就是需要安卓的最高權(quán)限,，這點(diǎn)很容易被惡意軟件操縱。從本質(zhì)上講,，設(shè)備管理員權(quán)限賦予了這款惡意軟件禁止用戶強(qiáng)制停止和卸載app的權(quán)利,，它的進(jìn)程決定了移除它非常困難,。

圖1：安裝,、許可和設(shè)備管理員

圖2：惡意軟件要求獲取設(shè)備管理員權(quán)限

深入了解惡意代碼

木馬病毒的配置數(shù)據(jù)

如下圖所示，惡意軟件檢索和解碼它的配置文件,，Base64編碼,，使用”@”解析，因此它可以以數(shù)組形式儲(chǔ)存,。

圖3：代碼檢索配置文件

經(jīng)過解碼的Base64配置數(shù)據(jù)顯示了它的C&C服務(wù)器,，目標(biāo)的應(yīng)用程序，銀行列表,，C&C命令等等,。

圖4：Base 64解碼的配置數(shù)據(jù)

每當(dāng)惡意軟件需要特定的數(shù)據(jù)，它可以通過對于數(shù)組來說作為索引的硬編碼整數(shù)值進(jìn)行檢索,。如下面的代碼所示,，整數(shù)值14和46指向帶有”type”和”device info”值的配置數(shù)組的索引,。我們還可以看到C&C服務(wù)器和作為感染設(shè)備標(biāo)志符的代碼值來回應(yīng)。

圖5：配置索引

我們再來看下清單文件,，然后就能很快發(fā)現(xiàn)樣本想要做什么了,。我們很確定這款惡意軟件的目標(biāo)就像我們之前提到的一樣，針對手機(jī)銀行和移動(dòng)支付用戶,。下面是清單文件的截圖：

圖6：安卓的清單

這款惡意軟件可以通過創(chuàng)建偽造銀行窗口來進(jìn)行網(wǎng)絡(luò)釣魚獲取被然后用戶的銀行信息,，如信用卡賬號、賬單地址,、銀行用戶名,、PIN和密碼等等。

下圖是基于我們樣本的被瞄準(zhǔn)的銀行和支付服務(wù)的列表：

圖7：目標(biāo)銀行和目標(biāo)支付服務(wù)

接下來我們再看看惡意軟件的核心功能及主要操作,，尤其是執(zhí)行數(shù)據(jù)竊取的一系列活動(dòng),。

釣魚技巧

當(dāng)受害人打開合法手機(jī)銀行或者支付app時(shí)，該惡意軟件同時(shí)打開了它偽造的銀行窗口,，然后把兩個(gè)窗口疊加,，用戶很難通過界面發(fā)現(xiàn)一個(gè)新的窗口被打開了。假冒的窗口和原生窗口非常類似,。然而,，當(dāng)用戶點(diǎn)擊其他功能，比如編輯或者屏幕上的菜單功能時(shí)就能發(fā)現(xiàn)他們的區(qū)別了,。在這里,，假冒的界面沒有任何反應(yīng)，因?yàn)榧俚挠脩艚缑鏇]法實(shí)現(xiàn)這些功能,。

圖8：偽造的銀行界面

點(diǎn)擊更多任務(wù)查看兩種登錄頁面-第一個(gè)是合法的應(yīng)用程序,，第二個(gè)是偽造的Adobe Flash Player。

圖9：多任務(wù)查看

另外一些釣魚窗口的例子,，他們簡直和合法窗口太像了：

圖10：銀行網(wǎng)絡(luò)釣魚窗口

圖11：信用卡釣魚窗口

收集登錄憑證

像前面所說的,，最重要的一部就是勸說受害者進(jìn)入他們偽造的登錄界面進(jìn)行信息驗(yàn)證。因此,，惡意軟件需要做的第一件事就是決定確定用戶使用的是什么公司的銀行以及銀行界面長什么樣,。

惡意軟件定期檢查設(shè)備上運(yùn)行的app并通過getPackageName() API調(diào)用檢索應(yīng)用程序相關(guān)的界面名稱然后把這個(gè)來自這個(gè)API的返回參數(shù)和下面這個(gè)目標(biāo)應(yīng)用程序名字列表進(jìn)行比較：

金融應(yīng)用程序：

圖12：獲取正在運(yùn)行進(jìn)程的包的名字

如果匹配的應(yīng)用程序被發(fā)現(xiàn)正在受感染設(shè)備上運(yùn)行，負(fù)責(zé)回應(yīng)的類會(huì)顯示上映的偽造的登錄頁面,。

圖13：在偽造的登錄頁顯示的流量

下面的視頻解釋了一個(gè)真實(shí)的攻擊情形,，當(dāng)用戶的手機(jī)被感染時(shí)，他們的網(wǎng)上銀行憑據(jù)是如何被竊取的,。希望這個(gè)關(guān)于真實(shí)攻擊的視頻可以給你啟示：

視頻1：DBS釣魚場景

你可以從這個(gè)視頻看出，當(dāng)真實(shí)的DBS應(yīng)用被觸發(fā)時(shí),，受害者將看到一個(gè)假冒的DBS登錄畫面,。之后你可以看到受害者會(huì)被要求進(jìn)入這個(gè)登錄界面兩次,。接下來，受害者將被重定向到合法的DBS應(yīng)用GUI,。

在假的登錄界面截取的登錄憑證就會(huì)被惡意軟件發(fā)送的C&C服務(wù)器上：

圖14：發(fā)送竊取的憑證

截取一次性密碼（OTP）

銀行經(jīng)常把短信作為一次性密碼（OTP）發(fā)送給用戶作為用戶ID和密碼之外的登錄憑證,。獲取這種額外的登錄憑證需要攻擊者進(jìn)入受害者的設(shè)備獲取接入OTP的權(quán)限來獲取OTP。

惡意軟件通過把自己注冊成安卓操作系統(tǒng)的SMS廣播接收方來完成OTP獲取工作,。在這種理論中,，只要受害者在安裝時(shí)授予了軟件合適的執(zhí)行權(quán)限，惡意軟件就能很輕松的完成這項(xiàng)工作,，這種權(quán)限在清單文件中被明確的指出了,。因此，所有接收的SMS都可以被很容易的劫持,，SMS的內(nèi)容可以被發(fā)送到攻擊者的C&C服務(wù)器,。

圖15：攔截所有接收到的SMS短信

持久性機(jī)制

我們還有興趣了解惡意軟件的持久性機(jī)制是如何工作的,。在清單列表的表住下，我們快速定位了持久性機(jī)制的入口點(diǎn)-android.intent.action.BOOT_COMPLETED 和 android.intent.action.ACTION_EXTERNAL_APPLICATIONS_AVAILABLE,。但是，分析反編譯源碼并不是一項(xiàng)簡單的任務(wù),，因?yàn)楣粽甙裫ava代碼進(jìn)行了模糊處理。好消息是模糊的代碼可以被輕易地確定,，因?yàn)橹挥幸恍〔糠掷a和實(shí)際代碼進(jìn)行了混合。

清理Service Starter代碼中的垃圾代碼后,，我們意識到惡意軟件看起來回避了俄羅斯用戶。這可能表明,，這段惡意代碼來自俄羅斯,。

圖16：清單文件顯示持久性機(jī)制的切入點(diǎn)類名稱

圖17：當(dāng)手機(jī)啟動(dòng)時(shí),，接收功能將被啟動(dòng)

圖18：創(chuàng)建服務(wù)處理函數(shù)從接收器被調(diào)用

我們可以從圖18看出,，惡意軟件丟棄使用硬編碼文件名的SD卡中的隱藏文件。

圖19：保存文件到SD卡的原始配置數(shù)據(jù)

結(jié)論

大多數(shù)安卓惡意軟件app不會(huì)自動(dòng)安裝-他們需要用戶參與來感染設(shè)備,。所以如果你想讓你的設(shè)備安全就需要在下載和更新應(yīng)用程序時(shí)保持警惕,。明智的做法是從Google Play商店這種安全的受信任的源來下載應(yīng)用程序。

話雖這么說,，惡意軟件編寫者也會(huì)提高釣魚能力,，讓用戶下載看起來像合法app的惡意軟件并進(jìn)行更新。安裝安全軟件更有助于保護(hù)用戶的個(gè)人數(shù)據(jù)和設(shè)備上的在線交易資料,。

主動(dòng)檢測惡意軟件,，如Android/Acecard.B!tr，C&C服務(wù)器就會(huì)被監(jiān)測成Android.Acecard,。

Fortiguard Lion Team

相關(guān)MD5哈希：

C&C服務(wù)器列表：

STIX xml的報(bào)告：https://github.com/fortiguard-lion/AceCard/blob/master/acecard.xml

如何刪除惡意軟件

第一步：把你的手機(jī)或者平板設(shè)置為安全模式,。按住手機(jī)電源鍵知道手機(jī)提示你關(guān)機(jī)。接下來,，點(diǎn)擊并按住電源關(guān)閉直到手機(jī)提示你重新啟動(dòng)到安全模式,，然后點(diǎn)擊確定。如果你的設(shè)備沒有翻譯,，你可以百度一下,，”你的手機(jī)型號如何進(jìn)入安全模式”。

圖20：讓你的手機(jī)進(jìn)入安全模式

第二步：在安全模式里,，打開設(shè)置菜單,，滑到安全選項(xiàng)進(jìn)入。查看名叫設(shè)備管理員的一欄,，點(diǎn)擊進(jìn)入?，F(xiàn)在它會(huì)顯示設(shè)備的管理員列表。移除它作為設(shè)備管理員的一項(xiàng),，停用惡意軟件app Adobe Flash Player作為設(shè)備管理員,。

圖21：找到注冊為設(shè)備管理員的可以應(yīng)用

第三步：進(jìn)入設(shè)置帶但，滾到應(yīng)用程序,，確保有下載選項(xiàng),。點(diǎn)擊惡意軟件app Adobe Flash Player，打開app info（app信息）,，然后點(diǎn)擊uninstall（卸載）并確定,。

圖22：卸載銀行木馬

第四步：用正常模式重啟手機(jī)

更多如何找到惡意軟件的指示

通過使用如文件管理或者安卓SDK工具的adb第三方應(yīng)用，你可以瀏覽額外的存儲(chǔ)信息,，如SD卡等,，然后你可以查看隱藏文件（在文件名前加.）。然后你可以查看每個(gè)隱藏文件,，找到類似于圖19中的文件名,。

從設(shè)備管理員列表中查看任意不知名的或者沒見過的應(yīng)用，如圖21所示,。

小編寄語

小編是果粉,！因?yàn)樘O果的iOS更加安全，安卓因?yàn)榘姹咎啵瑱C(jī)型不一,，每種都有不同的機(jī)制,，給黑客帶來了更多可乘之機(jī)，怎么保護(hù)我們的隱私不受到侵害,？我們的金錢不被竊?。课覀兊纳畈皇艿接绊?？定期檢查更新,，及時(shí)進(jìn)行系統(tǒng)更新；不使用root權(quán)限或者鎖住root權(quán)限,；定期殺毒,；按時(shí)看freebuf，了解最新的漏洞資訊,，查看自己的手機(jī)是否有中毒情況,；在付款時(shí)不要貪圖快而大意；自己加倍小心才能不給罪犯可乘之機(jī),。

本文固定鏈接: http://www./archives/6524 | 滲透測試研究中心