背景介绍
近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行·卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。
经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。
针对国内的钓鱼攻击
Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用·卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。
ViSA相关信息:
Blackloan仿冒Visa针对国内用户钓鱼页面:
通过钓鱼页面,诱骗用户填写个人银行·卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。
对用户可能持有的银行·卡都做了相应的钓鱼页面:
仿冒最高人民检察院的图标:
针对越南的钓鱼攻击
Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒越南公安部页面:
通过钓鱼页面,诱骗用户填写个人信息:
针对马来西亚的钓鱼攻击
Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒马来西亚国家银行页面:
通过钓鱼页面,诱骗用户填写个人信息:
样本分析
行为描述
此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。
Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。
我们对样本进行举例分析:
应用名 | Visa Master |
---|---|
包名 | com.sample.sample1 |
MD5 | A13B3A0E161D0BF9FA1D80F56352A0AE |
图标 |
Blackloan代码结构:
通过钓鱼页面诱骗用户填写个人信息:
数据包,返回获取到的用户信息至http://47.52.158.74:
代码分析
获取用户个人信息并进行上传,从而进行深入攻击:
获取用户位置:
获取短信:
获取通讯录:
发送获取到的用户信息至服务端:
http://62.60.134.177:7703/app/input.php
扩展分析
Blackloan此次主要仿冒的图标信息:
本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。
通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。
我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。
近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:
东南亚诈骗近年来也尤为严重:
总结
Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。
目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
MD5
5BC922612EF826F95D5CF46697292B82
EF3619529B507C53BD701A9207B40550
A13B3A0E161D0BF9FA1D80F56352A0AE
2CAACAB9C2B9BB606122E723FF64CE8B
7B2919DDD83F51949498CCA86A4A9C75
F61A8F344742F254515459E91642474B
406C593395231091741392BBC21903E4
1D7693846A33AF7084D9A94310538A5A
C01DB2337BE8E5E18231F74AA35D32C6
C21EAFD3EA3B905D8**0D1475FF78A68
2B03E1B08B88752DDFF026F58798A729
77F69C60B61E438A282191B1E4AFEE9D
6A1F47322748CA2E695635945DCFB478
161455A0024DF8525BCE039C90222FA5
BAF4A416E531F25B9FB917D3629F157D
0AC3DA0DBC34E9E67F2E49769BA04416
A28D84F43F30B017C8296A127CB1D45C
806276355682CF281B5A1598E0D1D88B
4A6096174B06124B51E1C08723827D65
D653129352A69917808D6B00C3DEDAA9
68C3C7540118446DB3DDB6391B1072DA
C785262B78DD947B2094DE506F7DBECE
D2F691E53E69863DE4CA903C2B43AE23
EF3619529B507C53BD701A9207B40550
8AE41E4258FD7FE550B1A1FFC080174B
6E8B39E0**46C160251B9928615B8678
E2E1FAFA30CDEFA2E017FAA54C28CE1A
C2
http://47.52.158.74
http://62.60.134.177
*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM
来源:freebuf.com 2020-05-10 09:00:14 by: 奇安信威胁情报中心
请登录后发表评论
注册