背景介绍
近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。
经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析,Blackloan很有可能为新的电信诈骗团伙。
针对国内的钓鱼攻击
Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。
ViSA相关信息:
Blackloan仿冒Visa针对国内用户钓鱼页面:
通过钓鱼页面,诱骗用户填写个人银行卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。
对用户可能持有的银行卡都做了相应的钓鱼页面:
仿冒最高人民检察院的图标:
针对越南的钓鱼攻击
Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒越南公安部页面:
通过钓鱼页面,诱骗用户填写个人信息:
针对马来西亚的钓鱼攻击
Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒马来西亚国家银行页面:
通过钓鱼页面,诱骗用户填写个人信息:
样本分析
行为描述
此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。
Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。
我们对样本进行举例分析:
应用名 | Visa Master |
包名 | com.sample.sample1 |
MD5 | A13B3A0E161D0BF9FA1D80F56352A0AE |
图标 |
Blackloan代码结构:
通过钓鱼页面诱骗用户填写个人信息:
数据包,返回获取到的用户信息至http://47.52.158.74:
代码分析
获取用户个人信息并进行上传,从而进行深入攻击:
获取用户位置:
获取短信:
获取通讯录:
发送获取到的用户信息至服务端:
http://62.60.134.177:7703/app/input.php
扩展分析
Blackloan此次主要仿冒的图标信息:
本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。
通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。
我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关系。
近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:
东南亚诈骗近年来也尤为严重:
总结
Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。
目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析,同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。
IOC
MD5
5BC922612EF826F95D5CF46697292B82
EF3619529B507C53BD701A9207B40550
A13B3A0E161D0BF9FA1D80F56352A0AE
2CAACAB9C2B9BB606122E723FF64CE8B
7B2919DDD83F51949498CCA86A4A9C75
F61A8F344742F254515459E91642474B
406C593395231091741392BBC21903E4
1D7693846A33AF7084D9A94310538A5A
C01DB2337BE8E5E18231F74AA35D32C6
C21EAFD3EA3B905D8C40D1475FF78A68
2B03E1B08B88752DDFF026F58798A729
77F69C60B61E438A282191B1E4AFEE9D
6A1F47322748CA2E695635945DCFB478
161455A0024DF8525BCE039C90222FA5
BAF4A416E531F25B9FB917D3629F157D
0AC3DA0DBC34E9E67F2E49769BA04416
A28D84F43F30B017C8296A127CB1D45C
806276355682CF281B5A1598E0D1D88B
4A6096174B06124B51E1C08723827D65
D653129352A69917808D6B00C3DEDAA9
68C3C7540118446DB3DDB6391B1072DA
C785262B78DD947B2094DE506F7DBECE
D2F691E53E69863DE4CA903C2B43AE23
EF3619529B507C53BD701A9207B40550
8AE41E4258FD7FE550B1A1FFC080174B
6E8B39E0C446C160251B9928615B8678
E2E1FAFA30CDEFA2E017FAA54C28CE1A
C2
http://47.52.158.74
http://62.60.134.177
http://024113vn.com
http://213.176.61.9:9002
http://140.82.34.185
http://45.77.225.48
http://45.63.98.87
http://213.176.36.42:4206
http://bocongan113vn.com
http://213.176.36.42
http://213.176.60.234:3403
http://213.176.61.9:9004
http://www.gov-cbminfo.com
http://213.176.36.42:4205
http://www.vn84pd.com
http://155.138.161.5
http://8425113.com
http://62.60.134.219:1903
http://www.negaramy-bank.com
http://213.176.36.42:4202
http://www.gov-cbminfo.com
http://213.176.60.234:3401
http://62.60.134.177:7701
http://213.176.36.42:4203
http://213.176.61.9:9001
http://213.176.36.42:4207
声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。