1. 概述
恶意软件尤其是银行木马的花招总是日新月异。此前有伪造目标银行的登录界面以窃取登录凭证的Thief Bot,有基于记录键盘输入信息以窃取密钥的 Loki
Bot,有监控用户屏幕并获取用户短信验证消息的Tea Bot。近期出现了一种名为 Fakecalls
的新型银行木马,除了常见的隐私窃取功能外,它还可以通过拦截银行与用户之间的通话从而冒充银行员工进行诈骗和窃取。
2. 样本信息
3. 样本运行流程
图 1 总体流程图
4. 行为分析
获取权限
设置targetSdkVersion为22,可一次性获取所有隐私权限。
图 2 隐私权限申请
通过无障碍设置自身为默认电话应用,增加触发几率。请求无障碍功能权限:
图 3 无障碍权限申请
频繁设置默认拨号器,阻止用户使用自带拨号打电话:
图 4 更改默认拨号器
仿冒银行界面
运行界面如下:
图 5 运行界面
从样本的图片资源来看,其家族目标App数量众多。
图 6 其余仿冒图标
主要功能
监听拨号
筛选归属地以针对韩国号码用户。
图 7 筛选82
展示伪造通话页面,设置显示用户拨打的真实电话。
图 8 展示假界面
完整样本中会播放准备好的客服录音。
监听通话关闭,及时退出伪造页面。
图 9 关闭假界面
上传本次操作日志。
图 10 两种上传方式
监听呼入
挂断正常渠道呼入的客户电话,设置自身电话显示为正常客户电话以进行诈骗。
图 11 监听呼入action
图 12 挂断电话
监听通话记录
及时删除通话记录,以免用户察觉。
图 13 篡改通话记录
其他功能
上传位置
监听位置变化并上传至服务器。
图 14 上传位置
录音
录音并上传。
图 15 录音
实时录像
录像流内容推送至服务器,相当于直播。
图 16 录像
保活功能
设置多个监听以随时重启主服务。
图 17 重启主服务
更新客服电话。
图 18 更新电话
定时更新主控地址。
图 19 更新主控
5. 修复方法
一旦中招,用户及时修改自己的个人账户和密码,尽快卸载该应用,用户可以通过以下三种方法进行卸载:
(1)立即关闭所有网络连接(断开手机移动网络和WLAN),在未删除APP前,建议禁止网络连接;
(2)在手机设置的应用信息中找到应用图标,点击卸载;
(3)如果以上方法都无法删除,备份一些重要数据到电脑,然后恢复出厂设置。如果不放心,也可选择重置手机,以此规避已经投放到手机上的恶意负载的攻击。
6. 安全建议
恒安嘉新暗影移动安全实验室在此提醒广大用户,不轻易相信陌生人,不轻易点击陌生人发送的链接,不轻易下载不安全应用,不安装非正规途径来源的APP。
谨慎打开未知短信的下载链接。
避免点击网页中的链接或下载附件。
仅从受信任的来源下载应用程序,建议去正规的应用市场或官方下载。
资料分享
最后,给大家分享一波网络安全学习资料:
我们作为一个小白想转行网络安全岗位,或者是有一定基础想进一步深化学习,却发现不知从何下手。其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。
接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~