安卓银行木马GPlayed的.NET版本,具有一定的免杀能力

释放双眼,带上耳机,听听看~!

        思科近日发布了安卓银行木马GPlayed的另一个版本的文章,由于没分析过.net安卓木马,因此拿出来专门看了一下。其使用xamarin进行android应用生成 [https://visualstudio.microsoft.com/zh-hans/xamarin/ ]

        该安卓马顾名思义,伪装对象为Google Play系列。

        程序启动后,首先会去请求BIND_DEVICE_ADMIN权限,也就是绑定设备管理,常见的手法。如果绑定不成功会反复请求,代码中有锁定屏幕操作但没使用。

        紧接着其会在webview界面显示页面(已失效,毕竟2016年已经有了,这也解释了为什么样本可能是测试用),这里使用了WebView覆盖技术,他会覆盖整个屏幕直到重启或关闭webview,这点在Gplayed其他版本也使用了这点技术。

        恶意软件创建WebView后,它会向Sberbank AutoPay(+79262000900)服务发送短信“баланс”,这意味着俄语中的“余额”。收到答案后,该木马将解析它以确定帐户余额。如果它低于3,000,该木马将不会做任何事情。如果它大于68,000,则木马请求值66,000,否则它将请求可用数量减去1,000。

  

卡巴在今年发的一篇关于Asacub的文章,也使用了这类手法,同样也是针对Sberbank AutoPay(俄罗斯国有银行提供的服务)用户

为了完成金融交易,需要进行验证手续。

因此,以下操作是注册SMS处理程序,该处理程序将解析任何到达的SMS消息并查找单词“пароль”,这意味着俄语中的“密码”。恶意软件解析包含该单词的SMS以提取密码,然后将密码注入先前创建的WebView中。思科认为这种恶意软件专门用于规避3-D Secure反欺诈机制,因为它将提取的值注入一个名为“s3dscode”的变量给WebView对象。密码实际上是验证事务所需的验证代码。

3-D Secure是一种基于XML的协议,旨在成为在线信用卡和借记卡交易的附加安全层。它最初由Arcot Systems(现为CA Technologies)开发,最初由Visa部署,旨在提高互联网支付的安全性,并以Visa验证的名义提供给客户。

EMV®3-D安全三域安全(3DS)是由EMVCo开发的消息传递协议,使消费者在进行无卡(CNP)电子商务购买时能够与其发卡机构进行身份验证。附加安全层有助于防止未经授权的CNP(卡不存在交易)交易并保护商家免受CNP暴露于欺诈。这三个域由商家/收单方域,发行方域和互操作域(例如支付系统)组成。

参考链接:https://en.wikipedia.org/wiki/3-D_Secure

        SMS接收器处理程序除了解析3-D安全验证代码之外,还将所有SMS发送到C2。

        

        在对样本一些特征进行搜索后,可以发现另一个该家族安卓马的DLL,在VT上没有一家报警,因此,个人感觉,安卓+.Net的操作实际上可以绕过一些杀软的检测体系。

下面为在VT找到的另外几个该家族.net版本的样本,可以扩展一下情报库。

该类样本与2016年末就已经面世,而距离几乎两年的今天才被检测出来,值得一看。

IOC:

c&c

http://sub1.tdsworker.ru:6565/index_main.html

http://sub1.tdsworker.ru:5555/sms/

http://sub1.tdsworker.ru:5555/3ds/

APK:

7a6fc4735da347b28f31a64aa6e9dce1

ca2ad0ac9c1f4285845ca7803d2b51fd

c00f68b95358669ef20fd7ea8447c68c

60fe15c0f6d3e82b338bb189a51b3dde

DLL:

72a6f76d48dc34e4593df37e5edde29f

9ebef0183e1b5e22881b4e929b024f0b

69fc76c350332450b1557169da8a725e

PDB:

f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\DroidCard2Card.pdb

f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\PlayMarket.pdb

f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\veDroidCard2Card.pdb

相关链接:

https://blog.talosintelligence.com/2018/10/gplayerbanker.html

https://securelist.com/the-rise-of-mobile-banker-asacub/87591/

https://blog.talosintelligence.com/2018/10/gplayedtrojan.html

本文源自微信公众号:黑鸟

人已赞赏
安全工具

Yikesnews第21期夜谈:新型攻击方式—构造含马视频字幕文件||linux Samba漏洞,可远程代码执行

2019-10-16 10:11:59

安全工具

价值近350万美元的信用卡(215万美国人)详细信息在黑客论坛上出售

2019-10-16 10:12:04

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索