安卓银行木马GPlayed的.NET版本，具有一定的免杀能力

最新推荐文章于 2024-08-02 10:54:44 发布

blackorbird

最新推荐文章于 2024-08-02 10:54:44 发布

阅读量225

点赞数

本文链接：https://blog.csdn.net/blackorbird/article/details/102462301

版权

640?wx_fmt=png

思科近日发布了安卓银行木马GPlayed的另一个版本的文章，由于没分析过.net安卓木马，因此拿出来专门看了一下。其使用xamarin进行android应用生成 [https://visualstudio.microsoft.com/zh-hans/xamarin/ ]

该安卓马顾名思义，伪装对象为Google Play系列。

640?wx_fmt=png

程序启动后，首先会去请求BIND_DEVICE_ADMIN权限，也就是绑定设备管理，常见的手法。如果绑定不成功会反复请求，代码中有锁定屏幕操作但没使用。

640?wx_fmt=png

紧接着其会在webview界面显示页面（已失效，毕竟2016年已经有了，这也解释了为什么样本可能是测试用）,这里使用了WebView覆盖技术，他会覆盖整个屏幕直到重启或关闭webview，这点在Gplayed其他版本也使用了这点技术。

640?wx_fmt=png

恶意软件创建WebView后，它会向Sberbank AutoPay（+79262000900）服务发送短信“баланс”，这意味着俄语中的“余额”。收到答案后，该木马将解析它以确定帐户余额。如果它低于3,000，该木马将不会做任何事情。如果它大于68,000，则木马请求值66,000，否则它将请求可用数量减去1,000。

640?wx_fmt=png

卡巴在今年发的一篇关于Asacub的文章，也使用了这类手法，同样也是针对Sberbank AutoPay(俄罗斯国有银行提供的服务)用户

640?wx_fmt=png

为了完成金融交易，需要进行验证手续。

因此，以下操作是注册SMS处理程序，该处理程序将解析任何到达的SMS消息并查找单词“пароль”，这意味着俄语中的“密码”。恶意软件解析包含该单词的SMS以提取密码，然后将密码注入先前创建的WebView中。思科认为这种恶意软件专门用于规避3-D Secure反欺诈机制，因为它将提取的值注入一个名为“s3dscode”的变量给WebView对象。密码实际上是验证事务所需的验证代码。

3-D Secure是一种基于XML的协议，旨在成为在线信用卡和借记卡交易的附加安全层。它最初由Arcot Systems（现为CA Technologies）开发，最初由Visa部署，旨在提高互联网支付的安全性，并以Visa验证的名义提供给客户。

EMV®3-D安全三域安全（3DS）是由EMVCo开发的消息传递协议，使消费者在进行无卡（CNP）电子商务购买时能够与其发卡机构进行身份验证。附加安全层有助于防止未经授权的CNP（卡不存在交易）交易并保护商家免受CNP暴露于欺诈。这三个域由商家/收单方域，发行方域和互操作域（例如支付系统）组成。

参考链接：https://en.wikipedia.org/wiki/3-D_Secure

SMS接收器处理程序除了解析3-D安全验证代码之外，还将所有SMS发送到C2。

640?wx_fmt=png