针对Android设备的开源手机银行木马BankBot / Mazain分析
以下是一些例子:
hxxp://nora.biz/index.php?threads/Пишем-android-бота-с-нуля.1425/
hxxps://forum.exploit.in/index.php?s=52f9e19ea5173f0ea43855edabafff41&showtopic=113555
hxxp://a0007517.xsph.ru/threads/pishem-svoj-android-botnet-s-nulja.6/
在C&C服务器中使用了这些软件含有一小部分的PHP代码,C&C入口通过命令管理Android木马,而它正在窃取短信以获取OTP。
这种C&C服务器基本上都被加入了木马程序,来使其能够从android手机中捕捉短信,而在未知的角落里有很多这样的C&C服务器在活跃着。
我们可以看到,几乎所有的C&C服务器都是由域名.gdn TLD https://en.wikipedia.org/wiki/.gdn提供服务的,其中一些服务器在域名上是由.pw TLD 提供服务的。 
观察后发现这些域名包括:
ifc3yb3rs3cur1tych0.pw
1nj3ct10n.gdn
r0n4ld4.gdn
t4l1sc4.gdn
trolitrader.pw
bigbustown.pw
ch4pr6.gdn
n0309.gdn
tr4f0.pw
t1lk1.gdn
b46.gdn该列表今后还会继续更新。
很明显拥有这些域名的人以前曾使用了这些不同的域名来作为网络钓鱼站点以及C&C服务器。
hxxp://e-trafikcezasiodemesi.net
hxxp://guvenliktrafikcezasiodemeyeri.com
hxxp://jethgsyukle.com 
以前是这样子的: 
而当你使用移动设备访问以下土耳其网站时,这些网站就会帮助传播前文所提到的Android木马。
hxxp://ircforumlari.net
hxxp://filmindirsene.net
而如果你使用移动设备或浏览器访问了上述网站,并且将用户代理字符串设置为Android浏览器之一,则网站会提供通过缩短链接来安装Android应用程序。
提供URL缩短服务的hxxp://dogrulama.link网站正在托管虚拟Flash播放器应用程序。 
FlashPlayer.apk及其变体的SHA256散列如下:
62ca7b73563f946df01d65447694874c45d432583f265fad11b8645903b6b099
3bf02ae481375452b34a6bd1cdc9777cabe28a5e7979e3c0bdaab5026dd8231d
6b93f837286da072f1ec7d5f5e049491d76d4d6ecc1784e1fadc1b29f4853a13
d8b28dbcc9b0856c1b7aa79efae7ad292071c4f459c591de38d695e5788264d1
bd194432a12c35ae6ae8a82fa18f9ecac3eb6e90c5ff8330d20d19e85a782958
e0da58da1884d22cc4f6dfdc2e1da6c6bfe2b90194b86f57f9fc01b411abe8de我们还发现有些类的名字似乎是用土耳其语写的。
还有一些俄罗斯语写的(俄罗斯论坛上已经找到原文)。
安装flashplayer.apk到手机上后,该恶意软件就请求用户首次提供设备管理员权限:
该恶意软件要使用的其他权限还有:
除此之外,该恶意软件还会有一些服务要运行。
木马可以从C&C接收以下命令: 
非结构化补充服务数据请求
请求管理员/root权限
发短信
恶意软件会扫描statham类中定义的所有运行进程。
在收到所有正在运行的进程列表后,我们和自己的手机银行应用程序进程列表对比了一下:
据我们了解,几乎所有的土耳其手机银行和金融应用程序都受到了BankBot恶意软件的影响:
com.ziraat.ziraatmobil
com.ziraat.ziraattablet
com.tmobtech.halkbank
com.vakifbank.mobile
com.pozitron.vakifbank
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
tr.com.sekerbilisim.mbank
com.teb
com.pozitron.iscep
com.softtech.isbankasi
com.ykb.android
com.ykb.androidtablet
com.tmob.denizbank
com.tmob.tabletdeniz
com.garanti.cepsubesi
biz.mobinex.android.apps.cep_sifrematik
com.htsu.hsbcpersonalbanking
com.ingbanktr.ingmobil
com.magiclick.odeabank
com.finansbank.mobile.cepsube
finansbank.enpara
com.pozitron.albarakaturk
com.kuveytturk.mobil而且源代码中的电话号码也会被Bankbot阻止:
Toast.makeText((Context)context, (CharSequence)"Giden Aramalar Engellendi.", (int)0).show();
这些电话号码都是用于访问相关银行的电话银行系统的。
this.b = arrayList.getStringExtra("incoming_number");arrayList = new ArrayList();
arrayList.add( “+ 9008502200000”);
arrayList.add( “+ 908502200000”);
arrayList.add( “+ 904440000”);
arrayList.add( “+ 9008502220400”);
arrayList.add( “+ 908502220400”);
arrayList.add( “+ 904440400”);
arrayList.add( “+ 9008502220724”);
arrayList.add( “+ 908502220724”);
arrayList.add( “+ 904440724”);
arrayList.add( “+ 9008502222525”);
arrayList.add( “+ 908502222525”);
arrayList.add( “+ 904442525”);
arrayList.add( “+ 9008502227878”);
arrayList.add( “+ 908502227878”);
arrayList.add( “+ 904447878”);
arrayList.add( “+ 9008502000666”);
arrayList.add( “+ 908502000666”);
arrayList.add( “+ 904440832”);
arrayList.add( “+ 9002166353535”);
arrayList.add( “+ 902166353535”);
arrayList.add( “+ 9008507240724”);
arrayList.add( “+ 908507240724”);
arrayList.add( “+ 904440202”);
arrayList.add( “+ 9008502220444”);
arrayList.add( “+ 908502220444”);
arrayList.add( “+ 904440444”);
arrayList.add( “+ 9008502220800”);
arrayList.add( “+ 908502220800”);
arrayList.add( “+ 904440800”);
arrayList.add( “+ 9008502220333”);
arrayList.add( “+ 908502220333”);
arrayList.add( “+ 904440333”);
arrayList.add( “+ 9008502110111”);
arrayList.add( “+ 908502110111”);
arrayList.add( “+ 9008502220600”);
arrayList.add( “+ 908502220600”);
arrayList.add( “+ 904448444”);
arrayList.add( “+ 9002123048444”);
arrayList.add( “+ 902123048444”);
arrayList.add( “+ 9008502220900”);
arrayList.add( “+ 908502220900”);
arrayList.add( “+ 904440900”);
arrayList.add( “+ 9008502223663”);
arrayList.add( “+ 908502223663”);
arrayList.add( “+ 9008502225666”);
arrayList.add( “+ 908502225666”);
arrayList.add( “+ 904445666”);
arrayList.add( “+ 9002166660101”);
arrayList.add( “+ 902166660101”);
arrayList.add( “+ 9008502510123”);
arrayList.add( “+ 908502510123”);
arrayList.add( “+ 9002123541111”);
arrayList.add( “+ 902123541111”);
arrayList.add( “08502200000”);
arrayList.add( “8502200000”);
arrayList.add( “4440000”);
arrayList.add( “08502220400”);
arrayList.add( “8502220400”);
arrayList.add( “4440400”);
arrayList.add( “08502220724”);
arrayList.add( “8502220724”);
arrayList.add( “4440724”);
arrayList.add( “08502222525”);
arrayList.add( “8502222525”);
arrayList.add( “4442525”);
arrayList.add( “08502227878”);
arrayList.add( “8502227878”);
arrayList.add( “4447878”);
arrayList.add( “08502000666”);
arrayList.add( “8502000666”);
arrayList.add( “4440832”);
arrayList.add( “02166353535”);
arrayList.add( “2166353535”);
arrayList.add( “08507240724”);
arrayList.add( “8507240724”);
arrayList.add( “4440202”);
arrayList.add( “08502220444”);
arrayList.add( “8502220444”);
arrayList.add( “4440444”);
arrayList.add( “08502220800”);
arrayList.add( “8502220800”);
arrayList.add( “4440800”);
arrayList.add( “08502220333”);
arrayList.add( “8502220333”);
arrayList.add( “4440333”);
arrayList.add( “08502110111”);
arrayList.add( “8502110111”);
arrayList.add( “08502220600”);
arrayList.add( “8502220600”);
arrayList.add( “4448444”);
arrayList.add( “02123048444”);
arrayList.add( “2123048444”);
arrayList.add( “08502220900”);
arrayList.add( “8502220900”);
arrayList.add( “4440900”);
arrayList.add( “08502223663”);
arrayList.add( “8502223663”);
arrayList.add( “08502225666”);
arrayList.add( “8502225666”);
arrayList.add( “4445666”);
arrayList.add( “02166660101”);
arrayList.add( “2166660101”);
arrayList.add( “08502510123”);
arrayList.add( “8502510123”);
arrayList.add( “02123541111”);
arrayList.add( “2123541111”);不过我们也发现开发恶意软件的人可能会有点懒惰或在编程方面没有什么经验,显示用于拦截/阻止传出呼叫的字符串和网上搜到的一模一样。
C&C服务器还有用于从用户获取凭据的特殊登录页面:
显示钓鱼窗口WebView,并从命令中指定的链接下载内容。
以上就是我们对他们的分析,我们有理由相信随着手机银行业务的普及,今年可能会面临更多类似的情况。
针对Android设备的开源手机银行木马BankBot / Mazain分析相关推荐
- Riltok手机银行木马分析
Riltok是一款使用标准功能和传播方法的手机银行木马.为了攻击欧洲用户,银行木马做了一些小的修改来适应欧洲市场(用户).受害者中有90%位于俄罗斯,4%位于法国,还有意大利.乌克兰和英国等. Ril ...
- Android杂谈--通过DDMS实现电脑与Android设备(如手机,平板)的网络连接、截图...
我们可以通过DDMS来截取通过USB数据线连接到电脑上的Android设备图片,因为Android设备联网也是有一个ip的,所以可以通过wifi来实现电脑和Andorid 设备的联通. 需要将Andr ...
- vb6.0 生成exe被简称是木马_病毒分析|银行木马样本事件分析
事件来源 近日,HSCERT监测发现一款银行木马,Emotet是一种高度模块化的银行木马,具有基于决策树的算法来执行指定的任务. 由于Emotet能够通过可自我升级的模块提供恶意程序,因此它已成为一些 ...
- 上市商业银行手机银行场景建设专题分析
易观分析:上市商业银行持续在场景建设方面探索创新,以手机银行为主要流量运营入口,将金融服务与非金融服务相结合,借助金融科技手段,搭建特色场景,深化银行数字化转型助力零售业务发展. ▼ 共计21页PPT ...
- 物联网威胁监测系统最新发现一款针对IoT设备的RAT远控木马
一.背景概述 2022年7月20日,天穹威胁监测系统监测到IoT蜜罐系统中的D-Link Dir 817LW路由器遭受来自澳大利亚IP的攻击.系统显示目标设备被攻击成功,并且下载了恶意样本.实验室相关 ...
- android设备如何苹果,手机怎么玩:如何像安卓一样管理iPhone文件?_苹果 iPhone 5_手机生活新闻-中关村在线...
很多使用安卓手机的用户都知道,大部分安卓手机中都有一个文件管理器的应用,我们可以通过这一应用来查看手机中几乎所有的文档.图片.音乐.视频等文件.使用起来也是非常的方便,那么iPhone可以吗?本期的手 ...
- android设备获取 关于手机-》手机名称
BluetoothAdapter myDevice = BluetoothAdapter.getDefaultAdapter(); String deviceName = myDevice.getN ...
- 安卓源代码_中科信安发现一款针对安卓的恶意软件已被开源,专门针对手机银行...
中科信安得知有一款恶意软件叫做Cerberus银行木马,本来打算拍卖十万美元,但是拍卖失败了,之后这款木马的源代码便在地下黑客论坛上以免费恶意软件的形式进行分享. 卡巴斯基网络安全研究员德米特里·加洛 ...
- Android设备新型恶意软件,融合银行木马、键盘记录器和移动勒索软件等功能
2019独角兽企业重金招聘Python工程师标准>>> 网络犯罪分子目前正在开发一种针对Android设备的新型恶意软件,它融合了银行木马.键盘记录器和移动勒索软件的功能. 根据来自 ...
最新文章
- java criteria限制条数_java架构—Oracle SQL性能优化
- 软件设计是怎样炼成的(6)——打造系统的底蕴(数据库设计)(上篇)
- python3 协程asyncio 调用步骤、阻塞和await、task任务、future对象 partial
- 内核编程小结(引用)
- Bootstrap 导入js文件,浏览器找不到文件问题
- Spring Cloud Consul 基础使用介绍
- java源代码1000_Java源代码
- Python基础-高级变量类型
- 苹果mac光标自行移动如何解决?
- pad 迅雷 bt php_iOS永久版迅雷来了 BT、磁力链下载最全教程收好
- CDLinux破解WEP、WPA加密过程
- java中的example_GitHub - lilei644/spring-java-example: 记录开发以及学习过程中Spring、Java相关的示例...
- 计算机硬盘中有许多碎片,电脑磁盘碎片整理有什么用(需要经常清理吗)
- 【数据库设计-2】权限设计-系统登录用户权限设计
- Linux程序设计——用getopt处理命令行参数
- 《MyBatis 从入门到精通》
- python 排名函数_分数排名(Python),成绩,排序,python
- 微信小程序如何实现上拉刷新(即分页加载数据)?
- 负数在计算机中如何表示,计算机中负数为什么用补码表示?
- Java降落伞_gta5降落伞怎么打开PS4