思科近日发布了安卓银行木马GPlayed的另一个版本的文章,由于没分析过.net安卓木马,因此拿出来专门看了一下。其使用xamarin进行android应用生成 [https://visualstudio.microsoft.com/zh-hans/xamarin/ ]
该安卓马顾名思义,伪装对象为Google Play系列。
程序启动后,首先会去请求BIND_DEVICE_ADMIN权限,也就是绑定设备管理,常见的手法。如果绑定不成功会反复请求,代码中有锁定屏幕操作但没使用。
紧接着其会在webview界面显示页面(已失效,毕竟2016年已经有了,这也解释了为什么样本可能是测试用),这里使用了WebView覆盖技术,他会覆盖整个屏幕直到重启或关闭webview,这点在Gplayed其他版本也使用了这点技术。
恶意软件创建WebView后,它会向Sberbank AutoPay(+79262000900)服务发送短信“баланс”,这意味着俄语中的“余额”。收到答案后,该木马将解析它以确定帐户余额。如果它低于3,000,该木马将不会做任何事情。如果它大于68,000,则木马请求值66,000,否则它将请求可用数量减去1,000。
卡巴在今年发的一篇关于Asacub的文章,也使用了这类手法,同样也是针对Sberbank AutoPay(俄罗斯国有银行提供的服务)用户
为了完成金融交易,需要进行验证手续。
因此,以下操作是注册SMS处理程序,该处理程序将解析任何到达的SMS消息并查找单词“пароль”,这意味着俄语中的“密码”。恶意软件解析包含该单词的SMS以提取密码,然后将密码注入先前创建的WebView中。思科认为这种恶意软件专门用于规避3-D Secure反欺诈机制,因为它将提取的值注入一个名为“s3dscode”的变量给WebView对象。密码实际上是验证事务所需的验证代码。
3-D Secure是一种基于XML的协议,旨在成为在线信用卡和借记卡交易的附加安全层。它最初由Arcot Systems(现为CA Technologies)开发,最初由Visa部署,旨在提高互联网支付的安全性,并以Visa验证的名义提供给客户。
EMV®3-D安全三域安全(3DS)是由EMVCo开发的消息传递协议,使消费者在进行无卡(CNP)电子商务购买时能够与其发卡机构进行身份验证。附加安全层有助于防止未经授权的CNP(卡不存在交易)交易并保护商家免受CNP暴露于欺诈。这三个域由商家/收单方域,发行方域和互操作域(例如支付系统)组成。
SMS接收器处理程序除了解析3-D安全验证代码之外,还将所有SMS发送到C2。
在对样本一些特征进行搜索后,可以发现另一个该家族安卓马的DLL,在VT上没有一家报警,因此,个人感觉,安卓+.Net的操作实际上可以绕过一些杀软的检测体系。
下面为在VT找到的另外几个该家族.net版本的样本,可以扩展一下情报库。
该类样本与2016年末就已经面世,而距离几乎两年的今天才被检测出来,值得一看。
IOC:
c&c
http://sub1.tdsworker.ru:6565/index_main.html
http://sub1.tdsworker.ru:5555/sms/
http://sub1.tdsworker.ru:5555/3ds/
APK:
7a6fc4735da347b28f31a64aa6e9dce1
ca2ad0ac9c1f4285845ca7803d2b51fd
c00f68b95358669ef20fd7ea8447c68c
60fe15c0f6d3e82b338bb189a51b3dde
DLL:
72a6f76d48dc34e4593df37e5edde29f
9ebef0183e1b5e22881b4e929b024f0b
69fc76c350332450b1557169da8a725e
PDB:
f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\DroidCard2Card.pdb
f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\PlayMarket.pdb
f:\.net\eDroidCard2Card\eDroidCard2Card\eDroidCard2Card\obj\Release\veDroidCard2Card.pdb
相关链接:
https://blog.talosintelligence.com/2018/10/gplayerbanker.html
https://securelist.com/the-rise-of-mobile-banker-asacub/87591/
https://blog.talosintelligence.com/2018/10/gplayedtrojan.html