背景介绍
2020年无疑是多灾多难的一年,虽然时间目前只过去了四分之一。但借着“新冠肺炎”各种衍生的自然灾难、人为灾难接踵而至。
近期奇安信病毒响应中心在日常监测中,发现了一种新的移动银行木马Eventbot,其最早可以追溯到2020年3月1日。Eventbot使用了全新的代码结构,与目前已知的银行木马完全不同。经过分析我们发现Eventbot目前可能只是处于测试阶段,其繁琐的功能以及影响的金融应用众多。目前其主要针对欧洲一些国家的银行应用、一些加密货币钱包应用等共234个(见附录)。
Eventbot样本信息:目前发现的样本,其都使用相同的包名com.example.eventbot,代码功能也不够完善,并且代码并没有经过混淆加密处理,因此我们推断其正处于测试阶段。根据我们对样本的溯源,发现其最早出现在2020年3月1日。
样本分析
Eventbot其功能繁多,相比于近期比较活跃的Cerberus、Anubis、Joker等毫不逊色。
样本信息
应用名 | Flash Update |
包名 | com.example.eventbot |
MD5 | F73F66B15791A42DAC86D0CED46D660F |
图标 |
|
运行截图:
样本功能
Eventbot木马通过仿冒正常应用图标诱骗用户安装使用,其运行以后会通过仿冒升级更新,隐藏自身图标达到保护自身。Eventbot木马通过Accessibility Service功能实施对用户手机的监控,恶意功能多达50多种。其运行后会通过服务端下发指令,实施对用户手机的操控,例如:获取并上传用户手机短信,获取并上传用户手机配置信息,获取并上传用户手机已安装应用,对用户手机浏览器进行注入,启动用户手机指定APP,删除指定应用,更新恶意插件等恶意行为。
代码分析
获取C2:
通过服务端下发指令:
获取并上传用户手机短信:
操控用户手机:
上传用户信息:
数据包:
影响分析
Eventbot主要以金融行业为目标,通过分析我们发现目前其影响了英国、德国、意大利、西班牙等国的十来家银行APP,总共影响234个金融APP,尤其以虚拟货币交易平台为主。
Eventbot仿冒的主要图标:
Eventbot影响的金融行业APP图标举例:
从中我们可以看到,Eventbot主要以虚拟货币交易平台为主要目标,虽然国内早已经关闭了虚拟货币的交易,但依然有很多人通过“科学上网”,通过一些虚拟货币交易平台在进行买卖,其中很大一部分平台APP在Eventbot的目标之中,这些无疑增加了国内用户手机中招的概率。
总结
进入2020年以后,Android银行木马随着“新冠肺炎”的爆发变得异常活跃,继Cerberus、Anubis木马之后,又出现了全新的木马Eventbot。虽然目前Eventbot木马只是处于测试阶段,实质性的危害还没有扩大,但其潜在的影响广泛,对国内一些进行虚拟货币交易的用户具有潜在的威胁。奇安信病毒响应中心会随时关注相关木马的实时动态,同时奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识。
目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析。同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
文件MD5:
7107AC3BCCD8DB274B21F0E494E3ECCC
8A563B6AF3CF74C8CBB88B99E104D949
F73F66B15791A42DAC86D0CED46D660F
7F5D728119951839B46895808107B281
B3F4746A6C21D030D2B73FF2AC3CEC2F
66AE6BB78ED76B252C2EA6EC8072B0E8
664118A72533D9A0D60E9CABA439FE28
E1229D332CA43AC2B640084A0DAE9BBE
8793359481AB88914B5E60625F57277C
36988753860CD9F919B9D2A94C0AF0FC
C2:
http://themoil.site/gate_cb8a5aea1ab302f0_c
http://ora.carlaarrabitoarchitetto.com/gate_cb8a5aea1ab302f0_c
http://ora.studiolegalebasili.com/gate_cb8a5aea1ab302f0_c
附录
受影响的234家金融机构应用包名:
包名 |
com.ownrwallet.wallet |
com.aurigaspa.bancadalba |
es.lacaixa.mobile.android.newwapicon |
com.tabtrader.android |
it.creval.bancaperta |
com.plutus.wallet |
com.grppl.android.shell.BOS |
com.cryptotab.android |
com.mansoon.cryptopop |
com.jhapps.easyfaucetclaimer |
cedacri.mobile.bank.crbolzano |
it.bnl.apps.enterprise.hellobank |
ch.postfinance.android |
co.mona.android |
com.chlegou.bitbot |
com.paytomat |
it.csebo.fec3mobileProd05156 |
it.cedacri.hb3.crcento |
it.archie.ccbcarteprepagate |
com.paxful.wallet |
de.postbank.finanzassistent |
com.caisseepargne.android.mobilebanking |
com.fullsix.android.labanquepostale.accountaccess |
uk.co.metrobankonline.mobile.android.production |
com.arkea.android.application.cmb |
io.eidoo.wallet.prodnet |
it.popso.SCRIGNOapp |
com.todo1.mobile.deleteTHIS3 |
co.uk.getmondo |
com.bbva.netcash |
com.crypto.currency |
it.hype.app |
de.schildbach.wallet |
com.ecoPayz.appID |
com.tmobtech.halkbank |
com.tforp.cryptogdx |
com.db.pbc.miabanca |
com.spot.spot |
com.dowallet |
com.bitcoin.mwallet |
it.icbpi.mobile |
uk.co.hsbc.hsbcukmobilebanking |
com.swftcoin.client.android |
com.monitise.client.android.yorkshire |
im.token.app |
fr.banquepopulaire.cyberplus |
com.vipera.chebanca |
co.bitx.android.wallet |
com.interactive_crypto.app |
net.inverline.bancosabadell.officelocator.android |
uk.co.tsb.newmobilebank |
hashengineering.darkcoin.wallet |
com.thanksmister.bitcoin.localtrader |
com.bitpie |
it.ingdirect.app |
ch.raiffeisen.android |
com.ocito.cdn.activity.banquenuger |
com.supercrypto.cryptocyrrency |
es.ibercaja.ibercajaapp |
com.grppl.android.shell.CMBlloydsTSB73 |
com.bancsabadell.wallet |
org.toshi |
it.copergmps.rt.pf.android.sp.bmps |
com.ie.capitalone.uk |
com.myetherwallet.mewconnect |
com.romerock.apps.utilities.cryptocurrencyconverter |
com.blockfolio.blockfolio |
it.gruppocariparma.nowbanking |
it.cartasi.mobilepos |
com.quppy |
cobo.wallet |
com.barclaycard.germany |
com.latuabancaperandroid.pg |
com.changelly.app |
posteitaliane.posteapp.appbpol |
crypto.aliens.bch |
com.CredemMobile |
com.coingecko.coingeckoapp |
mobi.societegenerale.mobile.lappli |
it.csebo.fec3mobileProd05772 |
com.intesasanpaolo.inbiz |
com.sella.BancaSella |
com.opentecheng.android.webank |
com.kutxabank.android |
com.latuabancaperandroid.ispb |
com.cryptoviewer |
io.cex.app.prod |
it.csebo.fec3mobileProd06150 |
btg.org.freewallet.app |
com.payeer |
com.conio.wallet |
it.bnl.apps.banking |
com.pundix.xwallet |
com.coinninja.coinkeeper |
com.beeweeb.findomestic |
it.bper.mobile.mymoney |
com.cryptonator.android |
cedacri.mobile.bank.bppb |
it.bnl.apps.banking.privatebnl |
io.bluewallet.bluewallet |
uk.co.cumberland.banking.pay2mobile |
com.grppl.android.shell.halifax |
com.tideplatform.banking |
io.kriptomat.app |
com.crypterium |
lt.lemonlabs.android.paysera |
it.csebo.fec3mobileProd05652 |
com.citibank.mobile.au |
it.chiantibanca.inbank |
com.lloydsbank.businessmobile |
it.cedacri.hb2.bpbari |
com.libertex.mobile |
com.moneybookers.skrillpayments |
com.mal.saul.coinmarketcap |
io.getdelta.android |
com.starlingbank.android |
com.liberty.jaxx |
com.developerdesing.bitcoin |
ltcc.org.freewallet.app |
it.bnl.mybiz |
com.aci.ocean.mobile |
com.coinstats.crypto.portfolio |
quarecy.crypto |
com.tarjetanaranja.emisor.serviciosClientes.appTitulares |
com.touchin.perfectmoney |
com.garanti.cepsubesi |
com.monitise.client.android.clydesdale |
com.cointiply.earn |
com.polehin.android |
uk.co.santander.santanderUK |
eth.org.freewallet.app |
com.kbc.mobilebanking |
pl.bzwbk.bzwbk24 |
com.coinomi.wallet |
it.nogood.container |
com.jdevelops.claimmultifaucet |
com.bitrue.currency.exchange |
com.monitise.coop |
com.Plus500 |
btc.org.freewallet.app |
piuk.blockchain.android |
es.ceca.cajalnet |
com.advantage.RaiffeisenBank |
it.bancagenerali.mobile |
au.com.heritage.app |
com.niyo.global |
com.twogetherbank.app |
com.bitpay.wallet |
co.uk.mycashplus.maapp |
io.totalcoin.wallet |
com.payoneer.android |
it.phoenixspa.inbank |
com.mirlimited.muchbetter |
com.monese.monese.live |
com.cmcm.blockchain.bitcoin.ethereum.safewallet |
it.iwbank.banking |
doge.org.freewallet.app |
it.relaxbanking |
com.revolut.revolut |
ftb.ibank.android |
com.wirex |
it.cedacri.hb3.crasti |
com.fideuram.phone |
com.coinmarketcap.android |
com.latuabancaperandroid |
com.avuscapital.trading212 |
clientapp.swiftcom.org |
it.gruppobper.ams.android.bper |
app.pay98 |
cash.usdx.wallet |
net.bitbay.bitcoin |
com.mediolanum.android.fullbanca |
com.mercuryo.app |
com.mycelium.wallet |
uk.co.tsb.businessmobilebank |
com.bitpanda.bitpanda |
mw.org.freewallet.app |
com.lloyds.ccdm |
com.wavesplatform.wallet |
com.illimity.mobile.rtl |
com.eofinance |
com.enjin.mobile.wallet |
com.bitnovo.app |
com.starfinanz.smob.android.sfinanzstatus |
com.unicredit |
com.ie.vanquis.interact.shell |
com.swissborg.android.community |
com.binance.dev |
com.bankofqueensland.boq |
at.volksbank.volksbankmobile |
com.lynxspa.bancopopolare |
com.plunien.poloniex |
com.wallet.crypto.trustapp |
com.db.coo.secureauthenticator |
com.barclays.android.barclaysmobilebanking |
fcabank.myfcabank |
co.edgesecure.app |
com.coinbase.android |
com.mosync.app_Banco_Galicia |
at.paysafecard.android |
com.magnum.wallet |
it.cabel.mito.mimo.android |
cloud.money.server.mining |
com.ptpwallet |
io.atomicwallet |
com.electroneum.mobile |
net.bitstamp.app |
com.syndicomsolutions.ecoinia |
com.altcoinfantasy.altcoinfantasy |
uk.co.bankofscotland.businessbank |
com.tescobank.mobile |
de.number26.android |
com.cajaingenieros.android.bancamovil |
com.moneybookers.skrillpayments.neteller |
lt.spectrofinance.spectrocoin.android.wallet |
exodusmovement.exodus |
app.wizink.es |
com.csg.cs.dnmb |
com.xapo |
com.commbank.netbank |
com.mediaengine.allianzbank |
com.barclays.bca |
com.tronwallet2 |
com.remitano.remitano |
com.bbva.bbvacontigo |
com.bankinter.launcher |
aib.ibank.android |
network.celsius.wallet |
com.crypter.cryptocyrrency |
it.volksbank.android |
de.commerzbanking.mobil |
cedacri.mobile.bank.hb2.bari |
com.wrx.wazirx |
com.nexowallet |
声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
