AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

  • 时间:
  • 浏览:3
  • 来源:uu快3倍率_uu快3网游_单双计划

混淆自身价值形式,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,已经 使用加固技术,将恶意dex打包加密。处理后的app如下图:

目前,各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后,还差动态短信,已经 BankBot直接使用短信劫持,但原来杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架,利用FCM向指定设备发送指令数据,从而获取受害者短信验证码,也而是我控制端在成功钓鱼后,通过FCM挂接获取短信的指令,病毒读取最新短信,通过网络上传至控制端。下图整个攻击流程。

2、对抗动态沙盒

安全建议

* 作者:钱盾反诈实验室,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

 那末新型BankBot是要怎样再次入侵用户手机?

Binary Obfuscation

1、建议用户安装钱盾等手机安全软件,定期进行病毒扫描。

近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,已经 主要针对欧洲国家,可劫持60 多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

AVPass分析

3、FCM远控,获取短信验证码

通过自检测运行环境和增加用户行为交互对抗沙盒,新型BankBot那末并肩满足以下4条才会触发恶意行为:

------------------------------

下图运行设备检测

能上架应用商店和入侵用户手机,BankBot使用了AVPass技术,包括针对静态分析和动态沙盒的逃逸,原来成功绕过大多数杀毒引擎。可信应用商店+绕过杀毒引擎,原来病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是要怎样规避杀毒引擎,病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近,新型BankBot木马解析》

病毒AvPass工作流程图如下:

2、切勿点击任何陌生链接,尤其是短信、QQ、微信等聊天工具中粘壳识的“亲戚朋友 ”发来的链接。

1、使用心智心智心智成熟 是什么图片 图片 是什么是什么是什么的句子的句子的句子的AVPass技术,可绕过反病毒检测系统

FCM挂接的指令数据还包括:更新C&C地址、弹伪造的通知栏、界面劫持数据,其中弹伪造的通知栏和界面劫持都在BankBot的钓鱼手段。下图挂接的指令数据。

攻击者一旦成功截获受害者银行账号、密码和短信动态验证码,将绕过银行双因素认证,原来受害者们不仅仅构造成了另一2个须要被攻击者控制的移动僵尸网络,更成了攻击者的天然植物提款机。