点击蓝字
关注我们
1.背景概述
安天移动威胁情报团队自2023年6月起观察到利用仿冒聊天应用,针对多个国家发起的金融攻击活动。样本会申请无障碍权限,获得对受害设备的控制,同时针对性攻击设备中的虚拟货币钱包及银行应用,通过窃取设备密码、短信息、监听屏幕等恶意行为最终达到窃取受害设备资金的目的。
在攻击者服务器后台发现了功能完善的“热聊开放平台”(针对社交聊天类应用开发的功能完善的系统后台,为第三方开发者提供开放API),同时关联到多个后台、仿冒应用以及疑似平台开发者的TG账户,该开发者利用Telegram平台出售恶意木马及后台系统,由此得出本轮攻击活动的完整链路如下:
图1-1 攻击活动链
通过对发现的多个热聊开放平台的受害资料进行分析,推测本轮攻击活动开始时间应早于2023年3月,一直持续至今,已发现受害者数万人,受害区域遍布亚洲、欧洲、澳洲多个国家。
2.样本分析
样本基本情况:
图2-1 样本基本情况
样本运行后会申请设备允许忽略电池优化、后台运行以及开启辅助功能权限。
图2-2 申请设备权限
授权后,进入应用的登录界面,无需实名注册或填写邀请码,点击注册进入应用功能界面。
图2-3 注册及登录界面
该应用功能界面类似一款聊天软件,包含“消息”“通讯录”“发现”“我”四个菜单。
图2-4 功能界面
样本的主要逻辑代码结构特征如下,经分析发现样本具备AhMyth开源木马特征,主要恶意功能为窃取短信、通讯录等隐私信息,其中部分功能未进行调用。
图2-5 代码结构特征
该样本会在运行时申请无障碍权限,安卓无障碍权限是一组特殊权限,此权限允许应用程序读取设备屏幕上的内容(可能包括敏感信息,如账号密码、银行卡信息等),同时也能实现对屏幕的控制,从而进行未经授权的操作。
图2-6 申请无障碍权限
经分析发现主要恶意行为如下:
通过设置屏幕截图监听,窃取截屏内容并上传服务器。
图2-7 窃取截屏内容
通过无障碍服务记录解锁密码。
图2-8 窃取手机锁屏密码
窃取设备上各类虚拟货币钱包数据以及银行App数据,包含印度hdfc银行和越南亚洲商业银行App、bitso和kucoin虚拟货币交易平台以及OEwallet、imtoken、tokenpocket等Web3钱包应用。
图2-9 窃取各类钱包、银行app数据
3.通讯服务器及受害者情况
■ 通讯服务器
通过分析样本流量特征,获取到远程服务器地址:http://c63svipcs.d3k8fg9.top:8092,对应ip 45.207.44.118,归属地为中国香港。
经分析后,访问攻击者服务器后台
图3-1 服务器后台页面
在“APP端配置”页面,发现了样本apk文件下载链接https://fbqaw.com/android/63-obf.apk,该页面目前已经无法访问。
图3-2 服务器后台:App配置页面
在对该后台进行资产测绘时,**发现了疑似平台开发者相关信息,同时关联到多个仿冒样本及热聊开放后台,**后文将对其他仿冒样本及平台数据进行详细分析。
■ 受害者情况
根据后台收集的受害设备数据,发现此次受害区域较广,涉及中国、印度、新西兰、瑞典、俄罗斯、希腊、塞浦路斯等多个国家。
在设备列表页面共计发现受害设备记录1184条,对设备所属地域进行筛选后发现归属国内受害设备记录81条。
图3-3 受害设备列表
交易记录页面共有92条数据,包含不同的钱包和虚拟货币币种,出现“自动收割”“强制收割”字样。
图3-4 交易记录
此外,后台还收集了受害者设备手机密码、键盘记录、应用列表等详细的隐私数据如下:
图3-5 密码记录
图3-6 键盘记录
图3-7 应用列表
4.同源样本
通过对SVIPCS样本的代码特征进行同源检索,在安天移动样本库中发现1个同源样本,同源样本与原样本名称相同,且样本功能和代码结构均一致。
图4-1 样本基本情况
5.拓线分析
■ 平台开发者溯源
在分析过程中,通过访问URL:http://107.151.200.173:90/(现已失活),发现了疑似热聊开放平台作者的Telegram账户。
图5-1 平台作者TG账户
随后在Telegram平台上找到了该账号,发现其正在售卖相关产品,推测本次仿冒样本为攻击者从该账号处购买产品后实施的攻击活动。
图5-2 平台作者TG账户
通过该作者发送的视频水印关联到另一账户,同时发现了一个Telegram群聊,该群用于发布信息,包含各种木马售卖,群聊成员4600+。
图5-3 相关TG群聊
■ 其他仿冒应用及热聊开放后台
另一仿冒聊天应用,基本信息如下,经分析样本功能及代码结构与原样本一致。
图5-4 仿冒应用详情
团队还发现了多个类似的热聊开放平台,这些平台数月来长期处于活跃状态,后台记录的受害设备较少的有数千台,多则数万台,且陆续有新的受害数据入库。
其中某个后台数据如下所示,访问地址
http://45.61.138.208:8092/pages/console/index.html进入后台(现已失活)。
图5-5 热聊开放平台
同样是在App端配置页面发现了对应仿冒应用apk分发链接:https://h5.thpopshop.com/Shop.apk(现已失活)。
图5-6 App端配置页面
设备列表中包含4498台被控终端:
图5-7 设备列表
交易记录共261条,出现“自动收割”、“强制收割”字样。
图5-8 交易记录
资产记录12182条:
图5-9 资产记录
密码记录388969条:
图5-10 密码记录
键盘记录46043条:
图5-11 键盘记录
单聊记录,聊天记录可在/mp/index.html中查看和回复:
图5-12 单聊记录
图5-13 消息回复和查看页面
6.总结与建议
本次发现的仿冒聊天金融攻击活动受害范围涉及到全球多个大洲的数万用户,攻击者通过获取对受害设备的无障碍权限,监听目标应用,同时窃取设备密码、截屏信息、键盘记录等敏感数据,在受害者不知情的情况下转走其虚拟货币或银行账户资金。因发现了平台开发者账户,从而揭开了此轮攻击背后的售卖链条,故而推测,本轮攻击活动的受害面远超目前已知受害者情况。个人用户应对类似的小众或不知名聊天应用提高警惕。
建议
避免安装来源不明应用
谨慎授权应用申请的敏感权限
【附录】IOCs
hash
21bccd663f07753fef1408a8b2b6f643
215677D0E2899EAE58FF988E3D16AC7A
C221D7C2A268D320BA588B8C2D10EF72
url
https://h5.thpopshop.com/Shop.apk
https://fbqaw.com/android/63-obf.apk
c2
http://c63svipcs.d3k8fg9.top:8092/
“
推荐阅读
/////
END
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。