隨著互聯(lián)網(wǎng)不斷的發(fā)展,很多銀行正在為自己的App提供更多功能,由于其應(yīng)用程序的便利性,全球范圍內(nèi)使用移動(dòng)銀行服務(wù)的用戶也隨之越來越多。但隨著新的金融技術(shù)的激增以及用戶開始從特定銀行尋找應(yīng)用程序和其他服務(wù),詐騙者的機(jī)會(huì)也在增加。最近的一個(gè)例子是Movil Secure App。我們于10月22日在Google Play上發(fā)現(xiàn)了這個(gè)惡意app,它是針對西班牙語用戶的SMiShing的一部分。
Movil Secure是一個(gè)虛假的銀行App,假裝成移動(dòng)令牌服務(wù)。它具有專業(yè)的外觀和復(fù)雜的用戶界面,開發(fā)人員努力誘使用戶認(rèn)為它是合法的。我們還在同一開發(fā)人員名下發(fā)現(xiàn)了其他三個(gè)類似的假應(yīng)用,Google確認(rèn)這些應(yīng)用已從Google Play中刪除。
Movil Secure于10月19日發(fā)布,六天內(nèi)的下載次數(shù)超過100次。下載次數(shù)如此之多,可能是因?yàn)樵搼?yīng)用程序聲稱與Banco Bilbao Vizcaya Argentaria(BBVA)相連,BBVA是一家擁有多國業(yè)務(wù)的西班牙銀行集團(tuán)。該銀行實(shí)際上以專業(yè)技術(shù)而聞名,其真正的移動(dòng)銀行應(yīng)用程序被認(rèn)為是業(yè)界最好的App之一。
虛假App(見下圖1)充分利用了BVVA的知名度,并將其作為銀行的移動(dòng)令牌服務(wù)(用于身份管理和交易授權(quán) ),但仔細(xì)審查后發(fā)現(xiàn),它并不具備任何所聲明的功能。
圖1.該應(yīng)用聲稱它是數(shù)字令牌
該應(yīng)用程序針對西班牙語用戶,并聲稱它可以用于識(shí)別并授權(quán)BBVA銀行客戶的交易。但是在分析其功能和行為后,我們將其歸類為間諜軟件。該間諜軟件非常簡單,這表明它可能是在Google Play上發(fā)布的試用版App。
應(yīng)用程序的所作所為
應(yīng)用程序首次啟動(dòng)時(shí),它會(huì)收集設(shè)備標(biāo)識(shí)符:設(shè)備ID、操作系統(tǒng)版本和國家/地區(qū)代碼。然后將所有信息發(fā)送到其命令和控制(C&C)服務(wù)器。它對用戶是隱藏的,因?yàn)槭謾C(jī)屏幕上并沒有任何圖標(biāo)。
圖2.設(shè)備標(biāo)識(shí)符集合的快照
當(dāng)訪問C&C服務(wù)器時(shí),我們看到了一個(gè)簡單的登錄門戶,表明攻擊者開發(fā)了一個(gè)完整的管理系統(tǒng)來分析和組織收集的數(shù)據(jù)。這也表明他們可能正在組織所有數(shù)據(jù)發(fā)起攻擊行動(dòng)。
圖3.命令和控制服務(wù)器的登錄頁面
它收集的數(shù)據(jù)不僅僅局限于設(shè)備標(biāo)識(shí)符。該應(yīng)用程序還收集短信和電話號(hào)碼;分析此應(yīng)用程序的代碼表明這是此間諜軟件的主要目標(biāo)。如下所示(圖4),當(dāng)安裝了應(yīng)用程序的設(shè)備收到新的SMS時(shí),它會(huì)將SMS發(fā)件人和消息內(nèi)容發(fā)送到C&C服務(wù)器和特定的電話號(hào)碼。這類信息非常有價(jià)值,移動(dòng)銀行App經(jīng)常使用SMS來確認(rèn)或授權(quán)銀行交易。
圖4. SMS的快照
應(yīng)用程序背后的攻擊者已經(jīng)開始使用他們?yōu)镾MiShing收集的數(shù)據(jù)。在應(yīng)用程序評論部分的帖子中,一位評論者說這是針對銀行卡的騙局。
圖5.評論聲稱應(yīng)用程序是一個(gè)騙局
查看開發(fā)人員的詳細(xì)信息,可以看到他們名下?lián)碛腥齻(gè)類似的假應(yīng)用程序(如圖6所示)。Evo和Bankia是西班牙的知名銀行,而Compte de Credit則與任何大型金融機(jī)構(gòu)都沒有聯(lián)系。這三個(gè)應(yīng)用程序于10月19日發(fā)布,與Movil Secure同一時(shí)間。分析顯示這幾個(gè)應(yīng)用程序具有與Movil Secure相同的例程,那就是收集標(biāo)識(shí)符和SMS數(shù)據(jù),然后發(fā)送到C&C服務(wù)器。
圖6.相同開發(fā)人員的其他假應(yīng)用程序
解決方案
我們懷疑從這些應(yīng)用程序中獲取的數(shù)據(jù)可能會(huì)用于進(jìn)一步的SMiShing攻擊,或者用于從這些西班牙銀行的客戶那里收集銀行憑證。到目前為止,我們已經(jīng)發(fā)現(xiàn)了此版本間諜軟件的功能,但我們將繼續(xù)監(jiān)控和跟蹤其發(fā)展。
用戶應(yīng)謹(jǐn)慎下載鏈接到銀行帳戶的應(yīng)用程序,并應(yīng)始終檢查它們是否合法的連接到銀行。此外,還應(yīng)配備全面的移動(dòng)安全程序,緩解移動(dòng)惡意軟件。
IoC
| 
