歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Riltok手機銀行木馬分析

來源:本站整理 作者:佚名 時間:2019-06-27 TAG: 我要投稿

Riltok是一款使用標準功能和傳播方法的手機銀行木馬。為了攻擊歐洲用戶,銀行木馬做了一些小的修改來適應歐洲市場(用戶)。受害者中有90%位于俄羅斯,4%位于法國,還有意大利、烏克蘭和英國等。

Riltok銀行木馬的全球分布
研究人員最早是在2018年3月檢測到Riltok銀行木馬家族的。與其他銀行木馬類似,該銀行木馬偽裝成俄羅斯的免費廣告服務app。惡意軟件是通過SMS在受感染的設備上傳播的,傳播的形式為“%USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7*****3”或“%USERNAME%, accept 25,000 on Youla youla-protect[.]ru/4*****7”,其中含有一個下載木馬的鏈接。其他一些樣本偽裝成找票服務客戶端或安卓的APP store。
2018年底,Riltok開始走向國際舞臺。惡意軟件背后的攻擊者使用了相同的偽裝方法和傳播方法,使用模仿免費廣告服務的名字和圖標。

Riltok最常用的圖標: Avito, Youla, Gumtree, Leboncoin, Subito
2018年11月,Riltok的一款面向英文市場的版本出現了——Gumtree.apk。SMS消息中含有一個到銀行木馬的鏈接:%USERNAME%, i send you prepayment gumtree[.]cc/3*****1。
意大利語版本 (Subito.apk)和法語版(Leboncoin.apk)也在2019年1月出現了市場上。使用的消息如下:
“%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5” (It.)
“% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7” (It.)
“%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3” (Fr.)
“%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9” (Fr.)
下面介紹下木馬的工作流程。
感染
用戶會接收到含有惡意鏈接的SMS,惡意鏈接指向的是模擬主流免費廣告服務的偽造網站。用戶會被提示下載一個新版本的手機app,其中就隱藏著木馬。為了安裝成功,需要受害者在設備設置中允許從未知來源安裝APP。
在安裝過程中,Riltok會展示一個偽造的警告來要求用戶授予使用AccessibilityService中一些特殊特征的權限:

如果用戶忽略或拒絕了該請求,該窗口就會一直打開。在獲取了期望的權限后,木馬就會將自己設置為默認的SMS app(通過AccessibilityService訪問自己點擊YES)。

 
啟用AccessibilityService后,惡意軟件將自己設置為默認的SMS app
在安裝和從用戶處獲取必要的權限后,Riltok會與C2服務器進行聯系。
在之后的版本中,惡意軟件啟動后,會在瀏覽器中打開一個模擬免費廣告服務的釣魚網站來誘使用戶輸入登陸憑證和銀行卡信息。輸入的數據會被轉發給犯罪分子。

法語版本木馬的釣魚頁面
與C2服務器通信
Riltok會主動與C2服務器進行通信。首先,通過發送GET請求到相關的地址 gate.php (之后版本中是gating.php)來在管理面板上注冊受干擾的設備,發送的信息還包括ID和screen參數,其中ID是根據設備IMEI號用setPsuedoID函數生成的,screen參數是確定設備是否活動,可能的值有“on”, “off”, “none”。

然后使用到相關地址report.php的POST請求,發送關于設備的數據(IMEI、電話號碼、國家、手機運營商、手機型號、root權限、操作系統版本)、通信錄、安裝的APP列表、SMS和其他信息。木馬會從服務器接收名來修改配置。
木馬
木馬的名字Riltok是根據木馬APK文件中包含的librealtalk-jni.so庫命名的。該庫的作用包含以下:
· 獲取C2服務器地址;
· 通過C2獲取web inject的配置文件,以及inject的默認列表
· 掃描app package名看是否有已知的銀行、病毒和其他常用app列表中生成的AccessibilityEvent事件
· 將惡意軟件設置為默認SMS app
· 在app運行時獲取打開的釣魚頁面的地址。

getStartWebUrl 函數——獲取釣魚頁面地址
配置文件中含有要注入的手機銀行APP的列表,以及用戶用來與手機銀行app匹配的釣魚頁面。木馬的西方國家版本中,默認配置文件中的package名被擦除了。

木馬配置文件樣本
通過AccessibilityService,惡意軟件可以監控AccessibilityEvent事件。根據生成事件的app,Riltok可以:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺