2018上半年日韓支付類病毒變化趨勢研究報告
前言
近期,騰訊安全反欺詐實驗室發現一批偽裝日韓快遞竊取一些韓國金融機構客戶使用的身份驗證資訊銀行攔截木馬,病毒木馬偽裝成韓國CJ 대한통운택배“DJ“快遞,日本佐川急便“急便”快遞等方式誘導受害者進行安裝,通過隱藏圖示潛伏在使用者手機,對受害人的手機遠端控制,盜取受害人手機的敏感資訊,啟用裝置管理器導致無法解除安裝,最後通過監控手機的銀行簡訊驗證碼,實現竊取使用者銀行卡里的金錢。
騰訊安全反欺詐實驗室通過對國內外銀行木馬的監控和資料研究,並通過本報告對日韓銀行木馬與國內銀行木馬的差異及其變化趨勢進行總結。
日韓銀行木馬特性與趨勢如下:
l 日韓銀行木馬偽裝快遞類應用,以此誘騙使用者下載安裝 l 韓國銀行木馬威脅相比日本更為嚴重,佔比達84%+;同時日本銀行木馬近期出現高速增長 l 日韓銀行木馬低端手機更容易中招 l 日韓銀行木馬攻擊能力多樣化詐騙風險形勢無法緩解 l 日韓銀行木馬攻擊目標多樣:銀行類、密碼類、遊戲類、貸款類 l 銀行木馬病毒緊跟熱點、與時俱進的詐騙手段也日趨多樣化
一、影響面分析
日韓銀行木馬以偽裝韓國“DJ“快遞佔比最大,偽裝日本“急便”快遞高速增長
日韓銀行木馬大量通過偽裝快遞類應用,誘騙使用者安裝執行。其中,以偽裝韓國“DJ“快遞的應用數量最多,佔比達84%。而偽裝日本“急便”快遞的銀行木馬也在高速增長中,8月爆發增長74.81%。
日韓銀行木馬低端手機更容易中招,中招人群多集中在一線城市
日韓銀行木馬病毒感染的手機更多集中在2000元以下的低端機器中——受感染手機中價格2000元以下佔比51.37%;
二、病毒技術演進分析
日韓銀行木馬免殺技術多樣化演進
在手機自身安全能力和手機安全軟體攔截能力全面提升的情況下,病毒型別也持續朝著多樣化隱祕化方向發展,通過各種殼、動態載入等對抗技術繞過安全軟體的查殺。
日韓銀行木馬融合多種特徵向高危化演進
日韓銀行木馬對手機使用者隱私資料(手機資訊)上傳、隱私資料(聯絡人資訊)隱私“青睞”有加,通過社會工程學詐騙獲取使用者的個人銀行卡、身份證、姓名、手機號碼,把使用者手機變成“肉雞”,悄無聲息盜走使用者網銀或第三方支付賬號的資金。
日韓銀行木馬攻擊目標緊跟熱點、與時俱進的詐騙手段也日趨多樣化
日韓銀行木馬在攻擊目標上略不同於國內銀行木馬,其攻擊目標更多集中在日韓網民網路資產所在的銀行、遊戲、動態令牌上。
同時,在仿冒物件選取上,日韓偽裝APP較為單一,主要為快遞類APP,而國內則多種多樣,社工能力更強,更具有欺騙性。
三、最新病毒技術詳細分析
| 樣本基本資訊 | |
|---|---|
| 應用名: | 佐川急便 |
| 包名: | com.qpp.uifh |
| 證書: | 1046E01C07DFBD42943A2BDEFEA2429F |
| 惡意行為: | 1)隱藏程式圖示,欺騙使用者隱藏行蹤; 2)攔截簡訊和通訊錄上傳至指定指定伺服器; 3)接收控制指令,執行控制指令內容; 4)竊取手機中的電子賬戶資訊。 |
1 獲得應用鎖,使系統持續保持喚醒亮屏狀態
2 監聽簡訊狀態、網路狀態、電量狀態、解鎖屏狀態、電話狀態、Wifi掃描狀態、應用包是否增加去除和手機螢幕狀態並註冊監聽器
3 獲取儲存在手機中的電子賬戶資訊,如DNF賬號、MU Origin賬號、Axe賬號等一系列韓國手遊賬號通過AccountManager. getAccounts方法獲取儲存在手機中的電子賬戶資訊
4 獲取手機中儲存的電子郵件資訊
5 過方法isIgnoringBatteryOptimizations檢測軟體是否在白名單中,並通過REQUEST_IGNORE_BATTERY_OPTIMIZATIONS許可權直接彈出一個系統對話方塊讓使用者直接新增軟體到白名單中,在白名單中的軟體可以在 Doze和App Standby模式下使用網路和喚醒鎖
6 日韓銀行木馬執行截圖:
四、解決方案與安全建議
針對個人使用者,我們建議:
Ø 保護個人隱私資訊,不輕易向他人透露個人資訊 Ø 提高對陌生電話、簡訊的警惕性,勿輕信其中內容 Ø 二維碼依舊是主要的染毒渠道之一,切勿隨意掃碼 Ø 移動支付需謹慎,避免在不明網路環境下進行移動支付 Ø 通過正規安全的渠道下載官方版支付、工具、遊戲等手機應用 Ø 手機網購安裝使用騰訊手機管家保護網購支付安全,還支援釣魚網址攔截,防止使用者上當受騙 Ø 安裝使用騰訊手機管家等安全軟體對手機進行安全檢測,開啟病毒庫的自動更新服務(務必開啟雲查殺功能),第一時間攔截存在安全風險的應用安裝
清理方案
手機使用者可下載安裝如騰訊手機管家一類的手機安全軟體,定期給手機進行體檢和病毒查殺,並及時更新病毒庫。針對最新流行肆虐危害較大並且難以清除的病毒或者漏洞,可下載專殺工具及時查殺或修復。同時開啟騰訊手機管家騷擾攔截功能,可有效攔截詐騙電話、簡訊,提升手機安全。
同時,面向裝置廠商,騰訊反詐騙實驗室基於對銀行木馬詐騙手段的深入瞭解,和與銀行木馬詐騙黑產的持續對抗,騰訊反詐騙實驗室積累了大量的詐騙網站、銀行木馬詐騙病毒識別能力。
依此,騰訊反詐騙實驗室針對銀行木馬詐騙流程,提供一套完整的銀行木馬詐騙檢測方案,層層佈防,幫助廠商更好的保障使用者安全:
Ø 事前攔截–URL網址檢測:在瀏覽器開啟前對URL網址連結頁面內容屬性檢測 Ø 事後防禦–下載應用檢測:瀏覽器下載apk應用時,下載前把網址和apk資訊做雲查資訊檢測
方案優勢
在病毒檢測方面,為應對未來嚴峻的安全挑戰,騰訊安全立足終端安全,推出自研AI反病毒引擎——騰訊TRP引擎,TRP引擎通過對系統層的敏感行為進行監控,配合能力成熟的AI技術對裝置上各類應用的行為進行深度學習,能有效識別惡意應用的風險行為,並實時阻斷惡意行為,為使用者提供更高智慧的實時終端安全防護。
而在網址檢測方面,根據長期對黑產資料的監控和累積,騰訊反詐騙實驗室每天能從網際網路百億級別的活躍網址中發現百萬級別的欺詐網站,並形成活躍惡意網址庫,截止目前,網址庫裡已有一億條以上的各類欺詐、釣魚網址資訊。
在基於掌握這些億級體量的黑產資料之後,騰訊反詐騙實驗室形成了一套雲管端的立體全景式防禦體系:終端保護方面,主要針對包括QQ、微信、瀏覽器等騰訊的各種終端產品,會對惡意網址庫裡的網站做攔截,保護網民上網安全;在流量管道方面,通過和運營、公安部門合作,在運營商渠道對欺詐網站做攔截;雲端,通過公有云和私有云解決方案,在接入的合作伙伴產品裡對欺詐網站做風險提示。
目前接入騰訊網址安全雲庫的合作伙伴已達上百家,如蘋果、華為、OPPO、VIVO、三星等。
附錄:
日韓銀行木馬攻擊目標應用包名:
. com.ep****f.sdsi
. com.han****android.hananbank
. com.*****banking
. com****kbbank
. com.****bsmb
. com.sc.****scbankapp
. com.****sbanking
. com****spbs
. com.****pib.smart
. nh.****art
. com.****.android.uotp2
. kr.co.****.neopleotp
. com.****.dfm
. com.web****rigin.google
. com.nc****gem
. com.nc****gem19
. com.****xe
. com.****play
. kr.co.happy****money
日韓銀行木馬MD5:
a5cb6cd8****71a0b596d3f b66dc5d****afdd7ea816fb3 289020d8****bd903a82b6c93 09d6c93****07e6c14747a2 fde79b0****e2c3744c0ad eccf9717****65d7a73dee 30bd26****9379cf5c31e 944e9d77****9bb9d94ac7 05b0b****7199fa74e3e2 050ea20****86ded53bb
*本文作者:騰訊手機管家,轉載請註明來自FreeBuf.COM