发布的Android恶意软件的源代码,用于运行银行僵尸网络

这个新的Android恶意软件银行最近发现在谷歌Play ESET发现再次在野外,更针对银行。这种表面的威胁进一步调查发现其代码中使用的是公开的几个月前的源代码建立。

检测由ESET作为trojan.android/spy.banker.hu的早期版本(1.1版–的源代码作者标记)和2月6日报道TH。恶意软件是通过谷歌游戏作为一个木马版本的一个合法的天气预报中的应用分布好天气。特洛伊目标22土耳其移动银行应用程序,试图收获凭据使用假冒的登录表单。此外,它可以被感染的设备远程锁定和解锁,以及拦截短信。

上星期日,我们发现在谷歌播放的版本新的木马,伪装成另一个合法的天气应用程序,这个时候世界天气。特洛伊,检测由ESET作为trojan.android/spy.banker.hw(1.2版),可在谷歌Play商店从2月14日TH直到被报道由ESET和拉从2月20日的商店TH

连接点

第二发现导致另一轮的调查,提供了一些有趣的启示。

事实证明,这些都是基于免费的Android木马的源代码是公开的在线。据称,从头写起,Android的恶意软件的“模板”代码,随着C&C服务器–包括Web控制面板–已经在俄罗斯论坛自12月19日以来已可用的代码TH,2016

图1–源代码的Android恶意软件和C & C在俄罗斯论坛公开

随后的调查带来的结果博士网络我们的关注,他们分析了一个恶意软件的早期的变种(由我们系统自12月26日检测TH2016,安卓/间谍。银行家HH)。

然而,这种变异并不直接连接到那些我们在谷歌播放找到,即使我们发现它同样检测名义下,版本1。我们能够确认这获得了僵尸网络的C&C服务器控制面板后,这是启动和运行,在我们调查的时间。通过控制面板,我们能够收集信息关于所有2800感染的僵尸网络恶意软件的版本。

图2–C & C Web控制面板上市的恶意软件的受害者

下面是用户群体受到了恶意软件的概述,基于C和C控制面板中列出的僵尸网络数据:

有趣的是,C&C服务器本身,活动自2017年2月2日以来,已接近谁有网址,无需任何证件。

图3–调查时间表

它是如何运行的呢?

新发现的版本基本上相同的功能作为它的前身。在它的顶部采用了从原来的合法应用天气预报功能,trojan.android/spy.banker.hw能够锁定和解锁被感染的设备远程设置锁屏密码和短信拦截。

两者之间唯一的区别似乎是一个更广泛的目标群体–恶意软件现在影响69英国、奥地利用户,德国和土耳其的银行应用程序的–和更先进的混淆技术。

图4–谷歌恶意APP游戏

图5–绿色–合法世界天气图标;红–恶意版本

该木马还具有一个内置的通知功能,其目的只能验证访问C&C服务器后。原来,该恶意软件能够在受感染的设备显示假通知,提示用户启动一个应用程序在目标银行从各银行的一个“重要信息”的名义。通过这样做,在一个虚假的登录屏幕形式恶意活动触发。

图6–C & C发送伪造的通知消息的受感染的设备

图7–假冒的银行应用程序通知从C&C发送

我的设备被感染了?我怎么清理?

如果你最近从Play商店安装了一个天气应用程序,你可能要检查,如果你没有这一银行木马的受害者。

In case you think you might have downloaded an app named Weather, look for it under Settings -> Application Manger. If you see the app depicted in Fig. 8, and also find “System update” under Settings -> Security -> Device administrators (Fig. 9), your device has been infected.

清洁您的设备,我们建议你向一个移动安全解决方案,或者你可以手动删除恶意软件。

To manually uninstall the trojan, it is first necessary to deactivate its device administrator rights found under Settings -> Security -> System update. With that done, you can uninstall the malicious app in Settings -> Application Manger -> Weather.

图8:在应用程序管理器的木马

图9:恶意软件伪装成有源设备管理员在系统更新

如何保持安全

而这背后的僵尸网络攻击者的特定群体选择传播恶意软件的木马程序通过天气和目标列在文章底部的银行,没有保证的代码不是或不被用在别的地方。

记住,要坚持一些基本的原则来保护移动恶意软件很好。

虽然不是完美无瑕,谷歌Play也采用先进的安全机制,防止恶意软件了。这可能不会与其他应用程序商店或其他来源不明的情况下,选择谷歌官方Play商店尽可能。

而从Play商店下载,确保能在安装或更新知道应用程序的权限。而不是自动给一个应用程序的权限要求,考虑他们的意思是应用程序以及你的设备。如果任何事情了,读什么其他用户写在他们的评论和下载相应的反思。

运行你已经安装在您的移动设备后,请继续关注哪些权限和权利要求。一个应用程序不会运行没有高级权限,没有连接到其预定的功能可能是一个应用程序你不想安装在你的手机上。

最后但并非最不重要的,即使所有的其他方法都失败了,一个有信誉的移动安全解决方案,可以保护您的设备从活跃的威胁。

如果你想了解更多关于Android的恶意软件,看看我们的最新的研究在话题

你也可以阻止由ESET的站在今年的移动世界大会

样品

包的名字 搞砸 检测
goodish.weather ca2250a787fac7c6eef6158ef48a3b6d52c6bc4b Android / spy.banker.hh
goodish.weather a69c9bad3db04d106d92fd82ef4503ea012d0da9 Android / spy.banker.hu
follon.weather f533761a3a67c95dc6733b92b838380695ed1e92 Android / spy.banker.hw

有针对性的应用

Android / spy.banker.hh和Android / spy.banker.hu:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

Android / spy.banker.hw:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank _直接
com.akbank.softotp
com.akbank.android.apps.akbank _直接_片剂
com.ykb.android
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank
com.isis _ papyrus.raiffeisen _付费的_ eyewdg
at.spardat.netbanking
at.bawag.mbanking
at.volksbank.volksbankmobile
com.bankaustria.android.olb
at.easybank.mbanking
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.smob.android.sbanking
de.fiducia.smartphone.android.banking.vr
com.db.mm.deutschebank
de.postbank.finanzassistent
de.commerzbanking.mobil
com.ing.diba.mbbr2
de.ing_diba.kontostand
de.dkb.portalapp
com.starfinanz.mobile.android.dkbpushtan
de.consorsbank
de.comdirect.android
mobile.santander.de
de.adesso.mobile.android.gad
com.grppl.android.shell.bos
uk.co.bankofscotland.businessbank
com.barclays.android.barclaysmobilebanking
com.barclays.bca
com.ie.capitalone.uk
com.monitise.client.android.clydesdale
com.monitise.coop
uk.co.northernbank.android.tribank
com.firstdirect.bankingonthego
com.grppl.android.shell.halifax
com.htsu.hsbcpersonalbanking
com.hsbc.hsbcukcmb
com.grppl.android.shell.cmblloydstsb73
com.lloydsbank.businessmobile
uk.co.metrobankonline.personal.mobile
co.uk.nationwide.mobile
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbsm
com.rbs.mobile.android.rbsbandc
uk.co.santander.santanderuk
uk.co.santander.businessuk.bb
com.tescobank.mobile
uk.co.tsb.mobilebank
com.rbs.mobile.android.ubn
com.monitise.client.android.yorkshire

打赏