Blackloan:针对中国、越南、马来西亚VISA用户的新黑产组织 – 作者:奇安信威胁情报中心

背景介绍

近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行·卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。

经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。

针对国内的钓鱼攻击

Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用·卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。

ViSA相关信息:

Blackloan仿冒Visa针对国内用户钓鱼页面:

通过钓鱼页面,诱骗用户填写个人银行·卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。

对用户可能持有的银行·卡都做了相应的钓鱼页面:

仿冒最高人民检察院的图标:

针对越南的钓鱼攻击

Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒越南公安部页面:

通过钓鱼页面,诱骗用户填写个人信息:

针对马来西亚的钓鱼攻击

Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒马来西亚国家银行页面:

通过钓鱼页面,诱骗用户填写个人信息:

样本分析

行为描述

此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。

Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。

我们对样本进行举例分析:

应用名 Visa Master
包名 com.sample.sample1
MD5 A13B3A0E161D0BF9FA1D80F56352A0AE
图标

Blackloan代码结构:

通过钓鱼页面诱骗用户填写个人信息:

数据包,返回获取到的用户信息至http://47.52.158.74

代码分析

获取用户个人信息并进行上传,从而进行深入攻击:

获取用户位置:

获取短信:

获取通讯录:

发送获取到的用户信息至服务端:

http://62.60.134.177:7703/app/input.php

扩展分析

Blackloan此次主要仿冒的图标信息:

本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。

通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。

我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。

近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:

东南亚诈骗近年来也尤为严重:

总结

Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。

目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOC

MD5

5BC922612EF826F95D5CF46697292B82

EF3619529B507C53BD701A9207B40550

A13B3A0E161D0BF9FA1D80F56352A0AE

2CAACAB9C2B9BB606122E723FF64CE8B

7B2919DDD83F51949498CCA86A4A9C75

F61A8F344742F254515459E91642474B

406C593395231091741392BBC21903E4

1D7693846A33AF7084D9A94310538A5A

C01DB2337BE8E5E18231F74AA35D32C6

C21EAFD3EA3B905D8**0D1475FF78A68

2B03E1B08B88752DDFF026F58798A729

77F69C60B61E438A282191B1E4AFEE9D

6A1F47322748CA2E695635945DCFB478

161455A0024DF8525BCE039C90222FA5

BAF4A416E531F25B9FB917D3629F157D

0AC3DA0DBC34E9E67F2E49769BA04416

A28D84F43F30B017C8296A127CB1D45C

806276355682CF281B5A1598E0D1D88B

4A6096174B06124B51E1C08723827D65

D653129352A69917808D6B00C3DEDAA9

68C3C7540118446DB3DDB6391B1072DA

C785262B78DD947B2094DE506F7DBECE

D2F691E53E69863DE4CA903C2B43AE23

EF3619529B507C53BD701A9207B40550

8AE41E4258FD7FE550B1A1FFC080174B

6E8B39E0**46C160251B9928615B8678

E2E1FAFA30CDEFA2E017FAA54C28CE1A

C2

http://47.52.158.74

http://62.60.134.177

http://024113vn.com/

http://213.176.61.9:9002

http://140.82.34.185

http://45.77.225.48/

http://45.63.98.87/

http://213.176.36.42:4206

http://bocongan113vn.com

http://213.176.61.9:9002

http://bocongan113vn.com/

http://213.176.36.42/

http://213.176.60.234:3403

http://213.176.61.9:9004

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://45.63.98.87

http://www.vn84pd.com

http://155.138.161.5

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://213.176.61.9:9004

http://8425113.com

http://62.60.134.219:1903

http://www.negaramy-bank.com

http://213.176.36.42:4202

http://213.176.36.42:4205

http://www.gov-cbminfo.com

http://8425113.com

http://62.60.134.219:1903

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://213.176.60.234:3401

http://62.60.134.177:7701

http://213.176.36.42:4203

http://213.176.61.9:9001

http://213.176.36.42:4207

*本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

来源:freebuf.com 2020-05-10 09:00:14 by: 奇安信威胁情报中心

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论