新的移動惡意軟體利用分層混淆瞄準俄羅斯銀行

新聞 01-16

2016年末，一款名為Fanta SDK的安卓惡意軟體攻擊了俄羅斯聯邦儲備銀行（Sberbank），並在攻擊過程中採用了獨特的防禦措施。研究人員將這款app的主伺服器跟其它惡意行動如傳播Cridex、Ramnit和ZBOT銀行木馬的惡意行動的基礎架構聯繫在一起。安全專家表示，這款app的行為跟此前一個實施「Operation Emmental」行為的犯罪團伙有關，該團伙曾從位於瑞士、瑞典和奧地利的銀行竊取錢財，該組織被認為來自俄羅斯。

不過，研究人員最近又發現了另一個專門針對俄羅斯銀行的惡意軟體，與Fanta SDK相比，它使用了分層混淆技術。目前趨勢科技的研究人員將這個惡意軟體暫時被命名為FakeBank，迄今為止研究人員收集的相關樣本數量已經達到了數千個。這些樣本顯示，FakeBank的攻擊目標不僅僅是俄羅斯聯邦儲備銀行，還針對其它俄羅斯銀行，比如Letobank和VTB24銀行。研究人員的樣本顯示FakeBank的文件名是隨機變化的，並且主要作為SMS / MMS管理軟體來引誘用戶下載它們。下表是樣本的名稱：

惡意軟體樣本的名稱

事實上，這些介紹的簡訊管理功能就是針對受害者的攻擊行為。惡意軟體會在攻擊開始時中攔截簡訊，通過他們的手機銀行系統竊取受感染用戶的錢財。

目前，FakeBank已經遍布俄羅斯和其他俄語國家。

樣本的分布國家

攔截簡訊並將用戶的錢財轉移

惡意應用程序可以控制受感染用戶的打開和關閉網路功能，也可以默默地連接到互聯網。這意味著它可以在用戶不知情的情況下將信息發送到其命令和控制伺服器（C＆C）。它還會檢查設備是否安裝有殺毒軟體，如果檢測到，則會退出而不執行任何惡意行為。這是一個防禦策略，可以幫助它不被檢測到，將攻擊效果最大化。

惡意軟體還會竊取設備中的信息並將其上傳到C＆C伺服器，收集到的敏感數據包括：用戶的電話號碼，安裝的銀行應用程序列表，所有鏈接銀行卡上的餘額，甚至位置信息。

捕獲的網路數據包

應用程序會收集所有鏈接銀行卡上的餘額

為了進一步保證數據收集的成功，惡意軟體會禁止用戶打開設備設置，也可能會阻止用戶進行卸載。研究人員還在一些示例中檢測到惡意軟體還能篡改用戶的管理員許可權，這使惡意軟體可以更多地訪問設備。

一旦惡意軟體被安裝，應用圖標就會出現在設備屏幕上並要求開放各種許可權

一旦用戶批准這個請求，圖標消失，惡意行為開始

惡意軟體甚至會進一步控制用戶的簡訊，首先用它自己替換默認的SMS管理程序並隱藏圖標。這樣它可以上傳和分析收到的任何簡訊，甚至可以在本地刪除任何簡訊。這意味著從銀行到用戶的任何驗證或查詢都可以被截獲和刪除。它甚至可以撥打指定的電話號碼，發送指定的簡訊，竊取通話記錄和聯繫人列表。

最重要的是，所有這些對設備簡訊的訪問都會讓惡意軟體悄悄地從用戶的銀行賬戶竊取資金。由於用戶會將他們的銀行帳戶綁定到他們的設備，並在同一設備上接收銀行的各種通知，惡意軟體可以攔截敏感的帳戶信息。然後可以通過收到的安全驗證碼信息重置銀行賬戶密碼並開始轉賬。

FakeBank也會阻止用戶打開目標銀行的官方應用程序，以防止對銀行卡號和綁定的電話號碼之間的關係進行任何修改。據此，研究人員可以判斷出惡意軟體開發人員對銀行的消息傳輸模式和傳輸過程非常熟悉，因為所有的支付簡訊通知都是由C＆C註明和加擾的。

值得注意的是，美國國家標準與技術研究院（NIST）正式拒絕使用SMS作為雙因素認證。如果移動用戶使用的是應用程序和服務，則應選擇其他認證方式。

對惡意的有效載荷進化混淆

這種惡意軟體的顯著特點之一是將它的惡意效載荷進行隱藏的方式。惡意軟體在不同的設備上具有不同的混淆行為，以使感染用戶難以卸載它，並避免被安全解決方案檢測到。

截止目前，研究人員發現它實際上使用了三種不同的方法來混淆惡意載荷，這些技術的複雜程度不一，開發者似乎採取了多層次的方法來避免被檢測到。

第一種混淆方法是常用的外殼保護，這是一種常用的技術。實際上有一些開源工具或服務為APK提供shell保護。但是這也很容易被檢測到，只需通過一個標準的內存轉儲就可能得到真正有意義的代碼。

第二種混淆方法是惡意軟體開發人員使用反射（一種應用程序收集信息或操縱自身的手段）來調用所有的系統調用，這可以使代碼更難被理解。惡意軟體還會對其所有字元串進行加密，包括類名稱和功能，並將其標註為資產文件加入到文件夾中。它們通常使用標準的加密方法，如（DES / BASE64）或簡單的位操作。下面是一些說明這些技術的代碼片段：