银行木马(Customer Support)分析报告
一、事件概要
2024年5月9日,知名社交平台X(前身为推特)上有移动安全人员发布一则Android恶意软件提醒推文[1],针对该恶意软件我们撰写分析报告揭露其恶意行为。
二、威胁细节
Customer Support
样本概况
| 项 | 描述 |
|---|---|
| 应用名 | Customer Support |
| 包名 | com.bank.customersupport |
| 文件类型 | APK |
| 文件大小 | 5.9 MB |
| MD5 | ad4f0044d5d9194e6cf46601adb8802b |
| 证书MD5 | 0e40ef31babffc4fd9b2b142c0e198a3 |
| 病毒家族 | mywork |
| 报毒 | 19/64(VirusTotal) |
| 发布时间 | 2024-04-10 |
杀毒引擎扫描结果
众多杀毒引擎给其打上银行木马Banker的标签。
发布日期
从证书的生成时间推断发布时间为2024年4月10日附近。
威胁行为分析
短信窃取
注册广播监听收到的短信并将短信数据通过短信发送指定地址。通过HTTP请求 "https://forwarding.live/api/site/number?site=customer-support10" 获取目标电话号码,然后将拦截短信数据发送到该号码。
注册广播监听收到的短信并将短信数据通过HTTP通道发送C2地址。
拦截的短信数据通过HTTP发送。
从恶意软件的代码中,提取日志TAG"mywork"为该恶意软家家族的特征名称。
三、威胁溯源
通过对C2地址进行关联寻找,定位出下面几款恶意软件应用。
其中最早一款恶意软件证书生成时间为2024年3月19日,推断恶意软件家族mywork自次日开始传播恶意软件。
四、安全建议
即使全球最大的Android应用商店Google Play,也非绝对安全的下载渠道,强大的审查机制、检测能力,也无法拦截所有恶意软件的渗透植入,所以为了用户的设备安全提出以下建议:
- 非必要不使用小众应用软件。
- 非必要不适用上线短的应用软件。
- 下载应用认准各大应用商店或者去大厂应用软件官网进行下载。
- 关注安全厂商安全新闻,一旦发现被披露的恶意应用软件出现在自己手机上,及时联系专业安全人员进行处理。
五、陷落标识(IOC)
六、参考
[1]https://twitter.com/malwrhunterteam/status/1788532530288771155
转载
分享
0 条评论
可输入 255 字
发布投稿
