現(xiàn)在的網(wǎng)上銀行很方便,你可以在手機(jī)App上隨時(shí)訪問(wèn)你的銀行賬戶,進(jìn)行轉(zhuǎn)賬、支付賬單、核實(shí)余額。與普通的網(wǎng)上銀行客戶一樣,網(wǎng)絡(luò)犯罪分子也通過(guò)各種詐騙手段從網(wǎng)上銀行中牟取非法利益。
這些網(wǎng)絡(luò)騙子們使用各種復(fù)雜的社會(huì)工程技術(shù),以網(wǎng)上銀行用戶為目標(biāo),竊取銀行證書(shū)。網(wǎng)絡(luò)釣魚(yú)是攻擊者最常用的攻擊手段之一。
然而,目前僅僅靠單純的網(wǎng)絡(luò)釣魚(yú)攻擊并不足以進(jìn)行欺詐,大多數(shù)銀行都已實(shí)施了雙因素認(rèn)證(2FA),來(lái)防止未經(jīng)認(rèn)證的登錄和轉(zhuǎn)賬。不過(guò)道高一尺魔高一丈,黑客組織往往研究的更加深入,他們開(kāi)始千方百計(jì)的竊取OTP(一次性密碼)來(lái)繞過(guò)2FA。
最近,在網(wǎng)絡(luò)發(fā)現(xiàn)了一個(gè)類似的網(wǎng)絡(luò)釣魚(yú)活動(dòng),目標(biāo)是某國(guó)際大銀行。這一活動(dòng)背后的黑客組織從釣魚(yú)攻擊開(kāi)始,然后誘騙用戶安裝惡意的Android軟件,試圖從受感染的設(shè)備中自動(dòng)獲取OTP。
這個(gè)最近被識(shí)別出的釣魚(yú)網(wǎng)站模仿成該國(guó)際大銀行,通過(guò)對(duì)每筆交易提供較低的費(fèi)率,誘使受害者提交銀行憑證。下面是這些使用網(wǎng)絡(luò)釣魚(yú)攻擊來(lái)獲取證書(shū)和OTP的惡意網(wǎng)站。
•hxxps://formullir-tarlf[.]com/NAS_BRI_TARIF_UPDATE9999
• hxxps://britarif[.]ftml.my.id
• hxxps://layanan[.]sch.id
• hxxps://perubahan.tarif-layananbri[.]my.id
除了上述的釣魚(yú)網(wǎng)站,還發(fā)現(xiàn)了另外8個(gè)與該黑客組織相關(guān)的釣魚(yú)網(wǎng)站,通過(guò)這些網(wǎng)站可以下載SMS Stealer Android惡意軟件,然后后會(huì)從受害者的設(shè)備上竊取OTP。
•hxxps: / / skematrf-login [] apk-ind.com
•hxxps: / / brimo-login-id.apk-ind。com
•hxxps: / /
brimo-login-ind.apk-online。com
•hxxps: / / login-bri-ib [] apk-ind.com
•hxxps: / / id-bri-login [] apk-online.com
•hxxps: / / id-login-brimo [] apk-ind.com
•hxxps: / / id-login-brimo [] apk-online.com
•hxxps: / / login-brimo-tarif。com
所有這些惡意網(wǎng)站都使用相同的網(wǎng)絡(luò)釣魚(yú)技術(shù)來(lái)獲取證書(shū)。在一開(kāi)始,惡意網(wǎng)站要求用戶選擇收費(fèi)選項(xiàng)、登錄憑證和6位網(wǎng)絡(luò)銀行PIN,但不提示用戶輸入OTP,如下圖所示
在提交登錄憑據(jù)和密碼后,釣魚(yú)網(wǎng)站會(huì)提示受害者下載并安裝APK文件以繼續(xù)此過(guò)程。一旦受害者點(diǎn)擊“下載”按鈕,惡意網(wǎng)站下載短信竊取APK,如下圖所示
進(jìn)一步的調(diào)查顯示,釣魚(yú)網(wǎng)站下載了兩個(gè)不同的APK文件來(lái)竊取OTP。黑客還試圖使用SMSeye創(chuàng)建了一個(gè)定制的短信竊取程序,SMSeye是一個(gè)開(kāi)源的android惡意軟件,用于竊取OTP。下面的技術(shù)分析部分將解釋這兩種SMS竊取器的詳細(xì)分析。
技術(shù)分析:
定制短信竊取器的技術(shù)分析
APK Metadata Information
• App Name: Brimo
• Package Name: com.ngscript.smstest
• SHA256 Hash: 75b0d191544f1e96f9bdec94df3556aa7db1808f0f2e194f6a882154857d0 384
惡意軟件使用銀行應(yīng)用程序的圖標(biāo)誘騙用戶并誘使受害者相信從惡意網(wǎng)站下載的應(yīng)用程序是正常官方軟件
該短信竊取程序通過(guò)釣魚(yú)網(wǎng)站傳播感染 hxxps://id-br -login[.]apk-online.com/download[.]php
安裝后,惡意應(yīng)用程序提示受害者授予SMS權(quán)限
然后將一個(gè)真正的BRI站點(diǎn)加載到WebView中,如下圖所示。
同時(shí),惡意軟件在后臺(tái)收集設(shè)備的基本信息,如設(shè)備名稱、型號(hào)等,并將這些信息發(fā)送給命令控制服務(wù)器
惡意軟件在清單文件中注冊(cè)了一個(gè)短信接收器。當(dāng)被感染的設(shè)備收到短信時(shí),惡意軟件會(huì)收集收到的短信并將其發(fā)送到C&C服務(wù)器hxxps://ionicio[.]com
有趣的是,在另一個(gè)惡意軟件的逆向分析過(guò)程中,也發(fā)現(xiàn)了相同的C&C服務(wù)器,該活動(dòng)安裝了惡意的NPM模塊,從嵌入在移動(dòng)應(yīng)用程序和網(wǎng)站中的表單中獲取敏感數(shù)據(jù)。這說(shuō)明TA不僅依賴于網(wǎng)絡(luò)釣魚(yú)攻擊,還會(huì)關(guān)注不同的平臺(tái)進(jìn)行其他惡意活動(dòng)
SMSeye惡意軟件分析
APK Metadata Information
• App Name: BRImo
• Package Name: abyssalarmy.smseye
• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb
惡意應(yīng)用程序通過(guò)hxxps://skematrf-login[.]apk-ind.com/download.php釣魚(yú)網(wǎng)站下載。像短信竊取者一樣,這個(gè)惡意的Android文件也使用該國(guó)際大銀行的標(biāo)志顯示真實(shí)的網(wǎng)站加載到WebView。
惡意軟件已經(jīng)在清單文件中注冊(cè)了“SmsEyeSmsListener”接收器。該接收器將從受感染的設(shè)備接收傳入的短信,并將它們發(fā)送到黑客的bot 網(wǎng)絡(luò)中。
查看代碼中出現(xiàn)的Kotlin文件的包名和引用,我們能夠在GitHub上找到開(kāi)源項(xiàng)目“Sms Eye”。這個(gè)黑客很厚道的遵循了GitHub頁(yè)面上提到的所有步驟,并在資產(chǎn)文件夾中更新了bot編號(hào)和主加載URL
“SMS Eye
”項(xiàng)目于2022年10月14日創(chuàng)建,用于監(jiān)視感染設(shè)備發(fā)送的短信,并將其轉(zhuǎn)發(fā)給指定的 bot網(wǎng)絡(luò)。雖然間諜軟件只有短信竊取功能,但使用它與復(fù)雜的網(wǎng)絡(luò)釣魚(yú)技術(shù),黑客可以執(zhí)行欺詐交易
總結(jié)
最近在持續(xù)監(jiān)測(cè)各種散布安卓惡意軟件的網(wǎng)絡(luò)釣魚(yú)活動(dòng)中發(fā)現(xiàn)不少類似的釣魚(yú)攻擊。這類攻擊通常從復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊開(kāi)始,后來(lái)演變?yōu)槭褂酶鞣N惡意軟件竊取敏感信息。
根據(jù)我們的研究,黑客只使用網(wǎng)絡(luò)釣魚(yú)技術(shù)來(lái)獲取證書(shū),隨后開(kāi)始分發(fā)短信竊取程序,從受感染的用戶那里竊取OTP,用來(lái)繞過(guò)銀行實(shí)施的2FA。
網(wǎng)絡(luò)釣魚(yú)頁(yè)面會(huì)提示OTP可能存在異常來(lái)欺騙用戶,因此我們懷疑黑客開(kāi)始傳播感染短信竊取程序,像其他網(wǎng)絡(luò)釣魚(yú)活動(dòng)一樣自動(dòng)化的竊取OTP。
看看這個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)的趨勢(shì),我們可以預(yù)期在未來(lái)幾周會(huì)有更新的惡意軟件,其他大的銀行也會(huì)成為攻擊目標(biāo)。
