背景介绍

近日,奇安信病毒响应中心在日常的样本运营过程中,通过盘古平台发现了一款仿冒奥地利“Willhaben”软件的钓鱼木马APP。该钓鱼木马通过仿冒成“Willhaben”APP,窃取用户个人信息,并向用户发送含有钓鱼链接的短信。

Willhaben是奥地利最大的用于个人之间买卖的市场应用程序。其中有超过400万辆二手车、房地产、工作和最大的分类市场,Willhaben在Google Play拥有将近8万的下载量。目前Willhaben已就此次钓鱼木马事件,在其官网发出了相关的预警信息。

Willhaben Google Play下载信息:

Willhaben 发出的预警信息:

盘古平台捕获的样本信息:

样本分析

样本信息

文件名称

Willhaben

软件名称

Willhaben

软件包名

com.resterent

MD5

AC7C59F2AA0D684A7857B3E305CBB714

安装图标

样本行为描述

此次发现的通过仿冒“Willhaben”的恶意程序,其主要目是进行钓鱼。恶意程序运行后会诱骗用户激活设备管理器,并可通过远控指令隐藏APP图标,从而达到保护自身;其会通过服务端下发远控指令,包括向服务器发送用户手机状态、发送用户手机号码、发送用户手机短信、发送用户已安装的APP信息、实时对用户手机进行监控等。攻击者会根据获取到的信息,向指定用户发送钓鱼短信,诱骗用户打开钓鱼页面并预付款,从而达到诱骗钱财的目的。

钓鱼短信示例:

“NAME,Vorauszahlung bezahlt www-willhaben-org/….”

预付款钓鱼页面:

目前该钓鱼页面已无法正常显示:

详细代码分析

激活设备管理器:

通过服务端下发远控指令,指令及其含义:

服务端:http://lkalipso1.com/3lfk3jGj/

指令

指令含义

registration

向服务端发送手机状态

send_sms

向指定号码发送短信,发送成功与否向服务端发送状态。

sms_contact

向指定号码发送短信,将SMS状态发送到服务端。

get_push

打开指定APP,打开推送通知,将推送通知发到服务端。

tracker

向服务端发送跟踪状态。

move_sms_client

更改短信客户端,并向服务端发送状态通知。

mard_mode

打开硬件模块。

call_number

向固定号码拨打电话。

startes_access

开启访问服务,向服务端发送状态,隐藏图标等。

主要代码片段:

So文件中主要功能代码:

仿冒美团钓鱼事件回顾

11月6日,奇安信病毒响应中心收到用户举报,美团、饿了么出现大规模短信钓鱼事件,且收到短信的人群非常集中。攻击者通过短信发送的方式,进行了大规模钓鱼攻击。奇安信病毒响应中心第一时间进行了分析,并将结果交给了警方。

事件还原

11月6日当天,有大量用户收到自称是饿了么、美团的短信,要求用户点击短信链接,进行相关进一步操作。

短信内容如下:

当用户点击链接后,会弹出输入电话号码、身份证的链接:

输入后会进一步要求用户填写银行卡相关信息:

当用户提交完信息后会停留在此页面:

当用户手机停留在此页面时,攻击者会通过用户提供的银行卡账号、密码进行转账操作,并诱骗用户填写银行二次确认短信,从而完成转账操作。

攻击者后台操作页面:

用户信息上传数据包:

被上传的用户数据:

总结

随着移动端APP所涉及领域的不断扩大,在方便大众的同时,也带来了更多的安全隐患。加之近年来各种购物节类似双11、双12、618、黑五的规模不断扩大,购物付款、退款的安全隐患也会随之增加。奇安信病毒响应中心提醒广大用户,预防短信类钓鱼木马的最好方式,就是用户不要随意点击,来自不明号码,短信中的不明链接。如果用户收到了类似的不明短信,请及时与相关公司的客服进行联系,以确保短信信息的真实性。

IOC

AC7C59F2AA0D684A7857B3E305CBB714

57DF2C8EAC6AAA2D7EBB94F4357A353F

http://lkalipso1.com/3lfk3jGj/

http://karambga3j.net/3lfk3jGj/

http://lkrishtifaa.com/3lfk3jGj/

http://lkrishtifaa.org/3lfk3jGj/

声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。