韩国银行杀手

韩国银行病毒分析报告

简介

该病毒运行后提示用户银行官方客户端需要升级,以此诱惑用户将银行客户端替换为病毒应用。替换后病毒让用户输入银行卡帐号、密码等敏感数据,并将敏感数据上报给病毒作者。病毒作者窃取到敏感信息后进行网上消费,导致用户经济损失。

恶意应用分析

恶意应用分为“提示升级并替换银行官方APP”和“假冒官方网银APP”两部分,这两部分主要的分工如下:

提示升级并替换银行官方APP

  • 弹出假的提示,提示用户银行官方APP需要升级。
  • 调用系统卸载窗口诱使用户卸载银行官方APP并让用户安装“假冒官方网银APP”。
  • 后台截获用户手机短信,截获短信的目的:

    A)、上传网银短信验证码给病毒作者(部分银行支付时需要短信验证)。

B)、隐藏短信控制指令(病毒作者会通过短信控制用户手机发短信、上传联系人等操作)。

假冒官方网银APP

  • 冒充官方网银APP,窃取用户银行卡帐号银行卡密码、密保卡等敏感数据。

两部分的具体分析如下(假冒官方网银APP部分以ShinhanBank(新韓银行)为例,其它银行也一致):

一、提示升级并替换银行官方APP

基础信息

病毒名:Android.Troj.BankKiller.ym

所属家族:Android.Troj.BankKiller

文件md5:0aa69ad64e20bb6cbf72f346ce43ff23

包名:com.ll

应用名:Google Services Framework

病毒行为:

在热门游戏应用中嵌入Google Services Framework应用,安装完点击后会提示程序未安装然后隐藏桌面图标。

检查手机上是否安装Koomin Bank、Hana Bank、Woori Bank、Shinhan Bank、NHBank以及IBK六家韩国主流银行客户端,诱导用户下载对应的恶意银行客户端,窃取用户的银行卡号,密码,证书密码以及密保卡密码,给用户造成经济上的损失。

安装截图

image001

 

病毒行为分析

诱导用户下载恶意版本的客户端

病毒执行后会检查已经安装的应用中是否包含一些指定的包名,有则通过以版本更新为由,诱导用户下载,检测的包名列表如下:

包名 应用
com.hanaBank.ebk.channel.android.hananbank HananBank(韩亚银行)
com.ibk.neobanking Industrial Bank of Korea(中小企业银行)
com.kbstar.bkbank Koomin Bank(国民银行)
nh.smart NH Bank
com.shinhan.sbanking shinhan Bank(新韩银行)
com.webcash.wooribank wooriBank(友利银行)

image003

image004

以shinhan Bank为例,当病毒检测到用户手机上安装了shinhan Bank客户端时,会提示shinhan用户更新,下图中的背景也是病毒作者伪造的。

image006

短信拦截

拦截短信的目的在于两点:

  • 屏蔽短信指令,不让用户发现手机被控制。
  • 在进行大额交易时拦截银行发送给用户的验证码之类的信息。
  • image008
  • 下载假冒网银应用

    通过短信中的内容来获取伪银行客户端的下载IP或URL,并将IP或URL保存到配置文件中,作为上传银行卡信息的URL。下面的arg3就是取自短信内容中的IP或URL。image010

    下载完恶意应用后会要求用户替换掉官方的银行客户端。image011image013

    删除银行官方应用

  • 病毒调用系统的卸载窗,让用户卸载银行官方应用。

    image015

    二、假冒官方网银APP

    基础信息

    病毒名:Android.Troj.BankKiller.ym

    所属家族:Android.Troj.BankKiller

    文件md5:1fb0ff485e39823a39cb52616e56951e

    包名:com.shinhan.shinhan.android.sh(官方的包名为:com.shinhan.sbanking)

    应用名:Google Services Framework

    病毒行为:

    通过下载的伪shinhan Bank客户端 诱骗用户输入自己的证书密码,银行卡号,银行卡密码,密保卡密码等重要的银行信息,通过网络将这些信息上传至黑客指定的服务器,给用户造成经济损失。

    假冒和官方网银对比

    下载的伪银行客户端截图和shinhan银行官方客户端的对比图(右为官方)相似度极高image017bankkiller

    窃取用户银行卡信息流程

    打开客户端时提示需要用户输入证书密码如下图:image021

    当成功进入后提示用户输入银行卡号和密码image023

    紧接着会跳转到要求用户输入密保的界面,当用户输入密保点击确认后会弹出对话框,用户点击后会退出,并删除桌面图标

  • image025

    行为分析

    窃取银行卡信息实现

    当用户输入证书密码,银行卡号和密码等个人信息是,这些信息会被记录下来,为上传数据做准备。主要是用户的一些基本信息。image027

  • 上传用户的银行卡信息image029上传用户的银行卡信息的URL会在程序开始运行前进行初始化,下图中的host的值,是通过短信来获取的。image031

    防分析对抗

    伪银行客户端中,开始代码中会检查恶意应用是否在模拟器上运行,是则退出。image032

  • 总结

    作者利用其它应用作为掩护,检查用户是否安装了各大银行的客户端,以更新版本为由诱骗用户下载。在用户使用过程中窃取用户的银行卡信息,给用户造成巨大的财产损失,作者通过短信来控制IP或URL的方式,使得病毒的活性更加持久。

    当病毒作者获取到用户的手机证书密码,银行卡号,密码,密保卡等个人信息后,有可能会重新申请一份证书,盗用用户的财产。给用户带来财产上的损失。

 

发表在 安全 | 韩国银行杀手已关闭评论