恶意软件Anubis再次通过官方应用商店进行传播

IBM X-Force移动恶意软件研究人员观察到一些开发者正积极地将Android恶意软件下载器上传到Google Play商店中。

自从发生了持续针对Google Play广告的系列攻击后,我们的研究团队一直在监控官方应用商店中的银行恶意软件活动。该团队最近报告称,商店中的下载app被当作了感染程序的第一步,该程序会获取名为Marcher(又名Marcher ExoBot)和BankBot Anubis移动银行木马,在自己的设备上安装这个app的用户随后就会被感染。网络犯罪分子利用这些银行木马通过窃取银行应用程序、电子钱包和支付卡的登录凭证来促进金融诈骗。

从6月开始,我们的团队发现了许多新的恶意软件下载app的样本,这些样本利用BankBot Anubis(又名Go_P00t)来进行感染,而此次的攻击活动中至少包含了10种伪装成各种应用程序的恶意下载app,这些app全都可以获取在Android设备环境中运行的移动银行木马。虽然下载app的数量可能看起来不大,但每个应用程序都可以从犯罪分子的C&C服务器中获取1,000多个恶意样本。

在应用程序商店中找到与BankBot Anubis恶意软件相关的新下载程序可能表明:

  • 一个给定的恶意软件分销商/网络犯罪组织已经从使用Marcher转移到分发BankBot Anubis
  • 或者在Google Play上传播恶意软件的威胁者正在将他们的“专业知识”以服务的方式提供,为使用移动木马促进金融诈骗的不同网络犯罪组织传播恶意软件下载器——又称“downloader-as-a-service(下载即服务)”。

此类网络犯罪服务在诈骗和恶意软件黑市中很常见。它们被证明有渗透进Google Play中的能力,并将恶意下载器植入到那些外观看起来还不错的程序中,这些服务可能还会使下载器的C&C服务器保持足够长的时间,以进行持续性地感染入侵,这表明了网络犯罪团体带有深思熟虑的安全性操作和专业技术。

 

移动恶意软件下载器时代

随着应用程序商店运营商将安全性分层以防范恶意开发者,但黑帽应用程序传播者仍找到了绕过它们的方法。为了规避不断进步发展的应用商店防御,移动恶意软件传播者开始依赖于PC端上的恶意软件领域的策略:并不需要将实际的恶意软件上传到商店,而是在传播链的早期阶段就对其进行抽样检测,然后上传一个与实际恶意软件相比可能看起来相当安全的下载器。

通常,下载器应用程序更有可能在安全检查和重复扫描中存活,并且一旦它安装到了用户的设备上,它就可以获取预期中的恶意软件应用程序。正如中国将军孙子在“ 战争的艺术 ”中所写的那样,“最大的胜利就是不需要战斗的胜利”。

 

下载器样本活动情况

根据X-Force研究人员的说法,在当前的活动中,下载器app面向土耳其语的用户,它们的类型和视觉风格各不相同——从在线购物到金融服务甚至是汽车应用——旨在让用户看起来觉得它们更加合法且有趣。IBM X-Force Research

IBM X-Force Research

IBM X-Force Research

图1:Google Play中发现的恶意软件下载器app示例。

各种不同的应用程序和风格表明,此次攻击活动的发起者需要投入大量资源,这表明这是一场大型的网络犯罪服务,而不是单一组织可以发起的网络犯罪。
下载器本身相当隐蔽,而且VirusTotal错过了其中一个样本,那个样本并没有被反病毒引擎检测到。

IBM X-Force Research

图2:恶意下载器检测率为0

在此次活动中,检测到的恶意下载器程序X-Force与ThreatFabric在2018年1月报告的三个应用程序具有相同的代码库,以下代码片段显示了它们之间的相似性:

IBM X-Force Research

图3:ThreatFabric在2018年1月报告的下载器样本的代码

IBM X-Force Research

图4:X-Force于2018年6月发现的下载器样本的代码

下图中相似性更为显着,通过从字符串中删除所有键实例( pE2 ),我们从January样本中生成了相同的字符串:

IBM X-Force Research

图5:代码库非常相似,表明可能是由同一个开发者开发的两个应用程序

目前已发现了10个下载器,此次活动似乎正在不断扩大其规模。

随着时间的推移,我们还发现了代码的更新。随着下载版本之间的时间流逝,开发者添加了一个简单的混淆并扩展了下载器功能,其代码也略有改动,以绕过Google Play的安全控件的检测。

根据X-Force的分析,这些变化表明下载器app正在被持续维护——这也是表明它是向网络犯罪分子或特定群体提供的,专注于欺骗土耳其移动银行用户的商品的另一个迹象。

 

Anubis Masquerades伪装成了Google Protect

成功安装恶意下载器app后,该app会从其中一个C&C服务器中提取BankBot Anubis。然后,BankBot Anubis恶意软件伪装成名为“Google Protect”的应用,并提示用户授予其可访问权限。

BankBot Anubis Android恶意软件应用

图6:应用程序的土耳其语名称

IBM X-Force Research

IBM X-Force Research

图7:要求访问keylog用户凭据的恶意软件

为什么要求可访问性?BankBot Anubis使用Android的辅助功能服务来执行键盘记录,以便在被感染用户访问目标移动银行应用程序时获取他的身份凭证信息,在大多数Android银行木马中,当用户访问目标应用时,恶意软件会启动一个虚假的覆盖屏幕,然后,用户就将帐户凭据输入到伪覆盖中了,这就是恶意软件窃取数据的通用做法。而BankBot Anubis简化了这一过程。

通过键盘记录用户的登录信息,攻击者可以从任何应用程序窃取凭据,同时避免了为每个目标创建自定义叠加层的需要。此恶意软件还能够捕获用户屏幕的截图,因为键盘笔划可见,所以它可能会用于窃取凭据,这些功能是PC端银行恶意软件的主要做法,而现在在Android恶意软件中也开始不断发展。

此次特定攻击活动中的下载器app被设计来针对土耳其用户。使用修改僵尸网络和配置,BankBot Anubis也可以用来针对以下国家/地区的用户:

  • Australia
  • Austria
  • Azerbaijan
  • Belarus
  • Brazil
  • Canada
  • China
  • Czech Republic
  • France
  • Georgia
  • Germany
  • Hong Kong
  • India
  • Ireland
  • Israel
  • Japan
  • Kazakhstan
  • Luxembourg
  • Morocco
  • Netherlands
  • New Zealand
  • Oman
  • Poland
  • Russia
  • Scotland
  • Slovakia
  • Spain
  • Taiwan
  • Turkey
  • U.K.
  • U.S.

虽然在撰写本文时,Google Play商店中有10个下载器app,但此次攻击活动相当庞大。X-Force通过下载次数以及找到的payload的数量和种类来估算Google Play上的此次攻击活动的大小。在一个案例中,研究人员从一个C&C服务器中获取了1,000多个BankBot Anubis的新样本。每个样本都有不同的MD5签名,在针对VirusTotal进行测试时,任何防病毒引擎的记录中都很少有这些签名。

 

官方应用商店:欺诈者的圣杯

在最大化此次攻击的感染效果方面,移动恶意软件分发者把官方应用商店当作他们的圣杯,将恶意应用程序放入官方商店可以接触更多的潜在受害者、廉价的分发渠道和用户信任。此外,已经进入官方商店的恶意软件应用程序更有可能在安全控制的范围内比在被劫持的站点或流氓服务器上托管更长时间。IBM X-Force将恶意应用程序报告给了官方商店,以便在更多用户受到影响之前将其删除。

恶意应用程序是一个商店运营商和开发人员都很难限制的点,而且这也是一个反复出现的问题:2017年,X-Force移动研究人员曾多次发表了金融恶意软件渗透进Google Play商店的报告,其中BankBot Android恶意软件家族一直处于领先地位,这一趋势可能还会继续升级。

X-Force研究人员怀疑,传播移动特洛伊木马的网络犯罪服务已将其作为恶意软件活动渠道掌握,并可能将其货币化,虽然此类网络犯罪服务在PC端的恶意软件传播中颇受欢迎,但其在移动恶意软件领域的崛起是用户或组织应该意识到的一个不断升级的风险因素。

想了解保护设备免受移动恶意软件攻击的更多相关信息,请阅读我们的移动恶意软件缓解技巧

审核人:yiwang   编辑:边边

(完)