欢迎来到 无奈人生 安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Google Play上发现的银行木马可窃取受害者的银行账户

来源: 作者: 时间:2019-02-24 21:17 点击: 我要投稿
广告位API接口通信错误,查看德得广告获取帮助


根据捷克警方近日发布的官方声明,捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。
不过幸运的是,警方已经从布拉格的一处自动取款机监控探头那里获取到了犯罪分子的面部照片(大兄弟,你确定你是专业的?)。

据了解,这款伪装成QRecorder的恶意软件是一款Android端银行木马,并且可从Google Play上直接下载安装,目前该恶意软件的装机量已经超过了10000台。目标设备感染了”QRecorder”之后,恶意软件会诱骗用户输入自己的银行账号凭证,并将这些数据发送给攻击者。值得一提的是,该恶意软件可以绕过基于SMS短信的双因素验证机制!
分析数据表明,这款恶意软件主要针对的是德国、波兰和捷克银行的用户。根据相关银行发布的声明,目前已有两名受害者将事件上报给了银行,这两名客户的财产损失总金额超过了10900欧元。
恶意软件分析
这款木马伪装成了一款名叫QRecorder的App,这款App原本是一款语音通话录音工具:

启动之后,它会提示用户安装其他的应用程序来完善自己的功能(或提示安装其他应用来保证自己的正常运行)。当然了,安装了所谓的“其他应用”之后,用户将感染木马病毒。

接下来,这款App会正常运行,不过它会在后台等待攻击者发送过来的控制命令。
根据研究人员的分析结果,这些控制命令会在目标用户感染了恶意软件的24小时之内送达。
攻击者在与受感染设备进行通信时使用的是Firebase消息,攻击者首先会询问目标设备是否安装了目标银行App。如果安装了,他会给目标设备发送一条包含了Payload和解密密钥的下载链接,其中Payload采用了AES加密。在下载Payload之前,他会请求用户激活辅助服务,并利用这种权限来自动下载、安装和运行恶意Payload。当Payload下载成功之后,它会尝试触发合法银行App运行。一旦运行后,恶意软件会创建一个界面外观跟合法银行App类似的页面覆盖层,当用户在这个覆盖层页面输入了自己的凭证之后,攻击者也就获取到了“一切”。
感染演示视频
下面给大家提供的是一个真实的感染案例:
根据研究人员对恶意软件代码的分析,我们可以断定该恶意活动的主要目标是德国、波兰和捷克银行。针对不同银行的App,恶意软件会创建不同的具有针对性的Payload。不过,研究人员目前还无法获取到解密密钥并识别所有的目标。

入侵威胁指标IoC


根据捷克警方近日发布的官方声明,捷克共和国已经有5名用户成为了这款恶意软件的受害者,并且攻击者已经成功从他们的账户上偷走了78000多欧元了。
不过幸运的是,警方已经从布拉格的一处自动取款机监控探头那里获取到了犯罪分子的面部照片(大兄弟,你确定你是专业的?)。

据了解,这款伪装成QRecorder的恶意软件是一款Android端银行木马,并且可从Google Play上直接下载安装,目前该恶意软件的装机量已经超过了10000台。目标设备感染了”QRecorder”之后,恶意软件会诱骗用户输入自己的银行账号凭证,并将这些数据发送给攻击者。值得一提的是,该恶意软件可以绕过基于SMS短信的双因素验证机制!
分析数据表明,这款恶意软件主要针对的是德国、波兰和捷克银行的用户。根据相关银行发布的声明,目前已有两名受害者将事件上报给了银行,这两名客户的财产损失总金额超过了10900欧元。 内容来自无奈安全网
恶意软件分析
这款木马伪装成了一款名叫QRecorder的App,这款App原本是一款语音通话录音工具:

启动之后,它会提示用户安装其他的应用程序来完善自己的功能(或提示安装其他应用来保证自己的正常运行)。当然了,安装了所谓的“其他应用”之后,用户将感染木马病毒。

接下来,这款App会正常运行,不过它会在后台等待攻击者发送过来的控制命令。
根据研究人员的分析结果,这些控制命令会在目标用户感染了恶意软件的24小时之内送达。
攻击者在与受感染设备进行通信时使用的是Firebase消息,攻击者首先会询问目标设备是否安装了目标银行App。如果安装了,他会给目标设备发送一条包含了Payload和解密密钥的下载链接,其中Payload采用了AES加密。在下载Payload之前,他会请求用户激活辅助服务,并利用这种权限来自动下载、安装和运行恶意Payload。当Payload下载成功之后,它会尝试触发合法银行App运行。一旦运行后,恶意软件会创建一个界面外观跟合法银行App类似的页面覆盖层,当用户在这个覆盖层页面输入了自己的凭证之后,攻击者也就获取到了“一切”。 copyright 无奈人生
感染演示视频
下面给大家提供的是一个真实的感染案例:
根据研究人员对恶意软件代码的分析,我们可以断定该恶意活动的主要目标是德国、波兰和捷克银行。针对不同银行的App,恶意软件会创建不同的具有针对性的Payload。不过,研究人员目前还无法获取到解密密钥并识别所有的目标。

入侵威胁指标IoC

内容来自无奈安全网

。 (责任编辑:admin)
【声明】:无奈人生安全网(http://www.wnhack.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱472701013@qq.com,我们会在最短的时间内进行处理。
上一篇:深入分析MikroTik RouterOS CVE-2018-14847 & Get bash shell 返回网站首页】【进入网站论坛
下一篇:寻找活动目录中使用可逆加密存储密码的账户
  • 本类最新更新
    • 本类推荐内容
      • 本类热点内容
        • 最近下载