记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

手机银行木马Svpeng新变种,通杀所有Android版本,利用无障碍服务获得特权

2017-08-01 23:45

2017年7月中旬,我们发现了著名的Svpeng(一种Android平台上的银行木马程序,trojan-banker.androidos.svpeng.ae)家族的一个新变种。在改进的版本中,网络罪犯分子为其添加了新的键盘记录功能,允许攻击者通过无障碍服务(Accessibility services)窃取用户输入的文本信息。

无障碍服务(也被称之为“残疾人模式”)通常是为残疾人用户或那些暂时无法与设备完全交互的用户提供的用户界面(UI)增强功能,比如正在开车的驾驶员。滥用此系统功能的特洛伊木马程序,不仅能够窃取安装在设备上的其他应用程序的输入文本信息,而且还授予自己更多的权限,抵制那些试图卸载该特洛伊木马程序的操作。

攻击数据表明该特洛伊木马尚未被广泛部署。在一周的时间内,我们观察到只有少数用户受到攻击,但是这些目标跨越了23个国家。大多数被攻击的用户来自俄罗斯(29%)、德国(27%)、土耳其(15%)、波兰(6%)和法国(3%)。值得注意的是,尽管大多数受到攻击的用户来自俄罗斯,但该特洛伊木马程序无法在使用了俄罗斯语言的设备上运行。这是俄罗斯网络犯罪份子逃避侦查和逮捕的标准策略。

Svpeng恶意软件家族以善于创新而闻名。从2013开始,它第一个使用SMS攻击银行、为了窃取凭据利用钓鱼网页覆盖其他应用程序、阻止设备并要求赎金。2016,网络犯罪分子利用Chrome浏览器的一个漏洞,通过AdSense积极地传播Svpeng,使得Svpeng成为移动平台上一种最危险的恶意软件家族,而这也是我们持续监视Svpeng新版本的功能的原因。

攻击过程

启动后,木马程序Trojan-Banker.AndroidOS.Svpeng.ae首先会检查设备的语言,如果判断不是俄罗斯语,则请求设备允许使用无障碍服务。恶意程序获得授权后,会滥用这种特权做许多有害的事情。它授予自身设备管理员权限,将自己置于其他应用程序之上,将自己安装为默认的SMS应用程序,并授予自己一些动态权限(包括发送和接收SMS、拨打电话和读取联系人的功能)。此外,利用其新获得的设备管理员权限,Svpeng木马可以阻止任何试图删除它的操作,从而防止被卸载。有趣的是,这样做也阻止了为其他应用程序添加或删除设备管理员权限的任何尝试。

图1:Svpeng能够在不与用户进行任何交互的情况下,只是利用无障碍服务就获得设备管理员的权限

使用无障碍服务允许特洛伊木马程序访问其他应用程序的UI,并窃取其他应用程序的数据,如接口名称及其内容,甚至包括输入的文本。此外,每当用户按下键盘上的按钮时,Svpeng木马就会截图,并将它们上传到恶意服务器上。不仅支持标准的安卓键盘,也支持一些第三方键盘。

有些应用程序,尤其是银行的应用程序,在屏幕顶部时(运行时)不允许截图。在这种情况下,特洛伊木马还有另外一种窃取数据的方式:绘制目标应用程序的钓鱼窗口。有趣的是,木马也利用了无障碍服务寻找哪个应用程序处于屏幕顶层。

安全研究人员截获了Svpeng接收到的来自它的命令和控制服务器(C&C)的信息,里边包含了加密的配置文件,解密后能找出攻击的应用程序列表和钓鱼鱼网页的URL地址。

我发现了特洛伊木马程序试图阻止的某些杀毒软件,还有一些被钓鱼网址覆盖的应用程序。跟大多数手机银行木马一样,Svpeng覆盖了一些谷歌的应用程序,用以窃取信用卡信息。

图2:Svpeng覆盖了某款谷歌的应用程序,目的是为了窃取信用卡信息

在配置文件中还包含一个网络钓鱼URL地址,指向PayPal(贝宝)和 eBay(易趣)的手机APP以窃取用户凭据,这些URL地址也指向不同国家的银行APP:

  • 英国- 14款目标银行APP
  • 德国- 10款目标银行APP
  • 土耳其- 9款目标银行APP
  • 澳大利亚- 9款目标银行APP
  • 法国- 8款目标银行APP
  • 波兰- 7款目标银行APP
  • 新加坡- 6款目标银行APP

在截获的配置文件中发现了一个名为Speedway的应用程序,它是一个奖励应用程序,并不是一个金融应用程序。Svpeng利用钓鱼窗口覆盖它是为了窃取用户凭据。

图3:Svpeng利用钓鱼窗口覆盖Speedway,用于窃取用户凭据。

Svpeng木马接收来自 C&C的命令,包括:

  • 发送短信;
  • 收集信息(通讯录、已安装的应用程序和调用日志);
  • 收集设备上所有的短信;
  • 打开指定的URL;

传播与保护

Trojan-Banker.AndroidOS.Svpeng.ae伪装成虚假的Flash Play从恶意站点进行传播,在使用了最新的Android版本和安装了所有安全更新的完全更新的设备上,依然可以运行。访问一个系统特性,Svpeng木马程序就可以获得所有必要的额外权限并窃取大量数据。

MD5

F536BC5B79C16E9A84546C2049E810E1

知识来源: www.mottoin.com/104479.html

阅读:95002 | 评论:0 | 标签:技术控 Android

想收藏或者和大家分享这篇好文章→复制链接地址

“手机银行木马Svpeng新变种,通杀所有Android版本,利用无障碍服务获得特权”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云