現在的網上銀行很方便,你可以在手機App上隨時訪問你的銀行賬戶,進行轉賬、支付賬單、核實余額。與普通的網上銀行客戶一樣,網絡犯罪分子也通過各種詐騙手段從網上銀行中牟取非法利益。
這些網絡騙子們使用各種復雜的社會工程技術,以網上銀行用戶為目標,竊取銀行證書。網絡釣魚是攻擊者最常用的攻擊手段之一。
然而,目前僅僅靠單純的網絡釣魚攻擊并不足以進行欺詐,大多數銀行都已實施了雙因素認證(2FA),來防止未經認證的登錄和轉賬。不過道高一尺魔高一丈,黑客組織往往研究的更加深入,他們開始千方百計的竊取OTP(一次性密碼)來繞過2FA。
最近,在網絡發現了一個類似的網絡釣魚活動,目標是某國際大銀行。這一活動背后的黑客組織從釣魚攻擊開始,然后誘騙用戶安裝惡意的Android軟件,試圖從受感染的設備中自動獲取OTP。
這個最近被識別出的釣魚網站模仿成該國際大銀行,通過對每筆交易提供較低的費率,誘使受害者提交銀行憑證。下面是這些使用網絡釣魚攻擊來獲取證書和OTP的惡意網站。
•hxxps://formullir-tarlf[.]com/NAS_BRI_TARIF_UPDATE9999
• hxxps://britarif[.]ftml.my.id
• hxxps://layanan[.]sch.id
• hxxps://perubahan.tarif-layananbri[.]my.id
除了上述的釣魚網站,還發現了另外8個與該黑客組織相關的釣魚網站,通過這些網站可以下載SMS Stealer Android惡意軟件,然后后會從受害者的設備上竊取OTP。
•hxxps: / / skematrf-login [] apk-ind.com
•hxxps: / / brimo-login-id.apk-ind。com
•hxxps: / /
brimo-login-ind.apk-online。com
•hxxps: / / login-bri-ib [] apk-ind.com
•hxxps: / / id-bri-login [] apk-online.com
•hxxps: / / id-login-brimo [] apk-ind.com
•hxxps: / / id-login-brimo [] apk-online.com
•hxxps: / / login-brimo-tarif。com
所有這些惡意網站都使用相同的網絡釣魚技術來獲取證書。在一開始,惡意網站要求用戶選擇收費選項、登錄憑證和6位網絡銀行PIN,但不提示用戶輸入OTP,如下圖所示
在提交登錄憑據和密碼后,釣魚網站會提示受害者下載并安裝APK文件以繼續此過程。一旦受害者點擊“下載”按鈕,惡意網站下載短信竊取APK,如下圖所示
進一步的調查顯示,釣魚網站下載了兩個不同的APK文件來竊取OTP。黑客還試圖使用SMSeye創建了一個定制的短信竊取程序,SMSeye是一個開源的android惡意軟件,用于竊取OTP。下面的技術分析部分將解釋這兩種SMS竊取器的詳細分析。
技術分析:
定制短信竊取器的技術分析
APK Metadata Information
• App Name: Brimo
• Package Name: com.ngscript.smstest
• SHA256 Hash: 75b0d191544f1e96f9bdec94df3556aa7db1808f0f2e194f6a882154857d0 384
惡意軟件使用銀行應用程序的圖標誘騙用戶并誘使受害者相信從惡意網站下載的應用程序是正常官方軟件
該短信竊取程序通過釣魚網站傳播感染 hxxps://id-br -login[.]apk-online.com/download[.]php
安裝后,惡意應用程序提示受害者授予SMS權限
然后將一個真正的BRI站點加載到WebView中,如下圖所示。
同時,惡意軟件在后臺收集設備的基本信息,如設備名稱、型號等,并將這些信息發送給命令控制服務器
惡意軟件在清單文件中注冊了一個短信接收器。當被感染的設備收到短信時,惡意軟件會收集收到的短信并將其發送到C&C服務器hxxps://ionicio[.]com
有趣的是,在另一個惡意軟件的逆向分析過程中,也發現了相同的C&C服務器,該活動安裝了惡意的NPM模塊,從嵌入在移動應用程序和網站中的表單中獲取敏感數據。這說明TA不僅依賴于網絡釣魚攻擊,還會關注不同的平臺進行其他惡意活動
SMSeye惡意軟件分析
APK Metadata Information
• App Name: BRImo
• Package Name: abyssalarmy.smseye
• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb
惡意應用程序通過hxxps://skematrf-login[.]apk-ind.com/download.php釣魚網站下載。像短信竊取者一樣,這個惡意的Android文件也使用該國際大銀行的標志顯示真實的網站加載到WebView。
惡意軟件已經在清單文件中注冊了“SmsEyeSmsListener”接收器。該接收器將從受感染的設備接收傳入的短信,并將它們發送到黑客的bot 網絡中。
查看代碼中出現的Kotlin文件的包名和引用,我們能夠在GitHub上找到開源項目“Sms Eye”。這個黑客很厚道的遵循了GitHub頁面上提到的所有步驟,并在資產文件夾中更新了bot編號和主加載URL
“SMS Eye
”項目于2022年10月14日創建,用于監視感染設備發送的短信,并將其轉發給指定的 bot網絡。雖然間諜軟件只有短信竊取功能,但使用它與復雜的網絡釣魚技術,黑客可以執行欺詐交易
總結
最近在持續監測各種散布安卓惡意軟件的網絡釣魚活動中發現不少類似的釣魚攻擊。這類攻擊通常從復雜的網絡釣魚攻擊開始,后來演變為使用各種惡意軟件竊取敏感信息。
根據我們的研究,黑客只使用網絡釣魚技術來獲取證書,隨后開始分發短信竊取程序,從受感染的用戶那里竊取OTP,用來繞過銀行實施的2FA。
網絡釣魚頁面會提示OTP可能存在異常來欺騙用戶,因此我們懷疑黑客開始傳播感染短信竊取程序,像其他網絡釣魚活動一樣自動化的竊取OTP。
看看這個網絡釣魚活動的趨勢,我們可以預期在未來幾周會有更新的惡意軟件,其他大的銀行也會成為攻擊目標。
