针对我国及东南亚多国金融攻击活动分析

点击蓝字

关注我们

1. 背景概述

安天移动威胁情报团队在日常狩猎活动中发现仿冒Chrome样本攻击活动，该样本为Chrome正版浏览器应用的重打包版本，功能与正版应用无异。当用户使用该浏览器下载特定应用时，浏览器会自动篡改下载链接为攻击者创建好的恶意样本分发链接，分发的恶意样本主要为imToken等Web3钱包应用和line、letstalk等聊天工具类应用，经分析此类样本具有窃取并上传助记词、替换虚拟货币交易地址等恶意功能。

分析攻击者服务器资产时，团队发现了归属同一攻击者的黑灰产攻击活动。攻击者主要通过约会软件引导受害者做任务并充值资金从而进行诈骗，与此同时窃取受害者姓名、银行卡和电话号码等隐私信息。

根据受害者资料推测本轮攻击活动始于2023年4月，一直持续至9月底，受害者万余人，主要受害区域为越南、中国、柬埔寨、菲律宾等国。

图1-1 攻击活动链

2. Chrome仿冒样本分析

样本基本情况：

图2-1 样本基本情况

通过安天动态沙箱测试发现异常的IP访问如下：

图2-2 沙箱动态检测网络行为列表

异常域名：

•https://qscgyj.com

•http://96.9.211.158:8082

样本存在加固，几乎所有的方法都下沉至so文件中。对敏感字符串的加密算法如下：

图2-3 敏感字符串加密算法

调用了decrpt方法进行解密的两个字符串如下：

图2-4 解密字符串

图2-5 解密字符串

解密结果和样本的动态分析结果一致。

■ 分发恶意应用

经分析，发现使用样本下载应用时，样本会检测下载url是否为攻击目标，如果是，则会替换url为攻击者设置好的恶意样本分发链接，导致受害者在不知情的情况下下载并安装恶意样本。

访问http://96.9.211.158:8082/Api/SearchByChannel/?channel=17003，会返回下载地址的替换列表，部分替换地址如下：

图2-6 访问API接口替换列表

经统计该API接口涉及了13个应用，主要为Web3钱包应用和聊天工具类应用。

每个应用对应两个下载地址，一个为仿冒应用官网的下载地址（仅提供下载功能，无web页面展示），另一个为仿冒Google Play应用商城的下载地址，攻击者模仿谷歌应用商城部署了简易的页面，含应用介绍和用户评价等。

图2-7 部分恶意样本替换地址

图2-8 仿冒GooglePlay分发imToken恶意应用页面

具体应用名称及其对应的替换地址数量如下：

类别

应用名称

替换地址数量

Web3钱包应用

imtoken

45

Web3钱包应用

itoken

11

Web3钱包应用

mathwallet

14

Web3钱包应用

metamask

15

Web3钱包应用

tokenpocket

19

Web3钱包应用

tronlink

17

Web3钱包应用

trust

22

聊天工具应用

whatsapp

17

聊天工具应用

letstalk

45

聊天工具应用

line

34

聊天工具应用

potato

19

聊天工具应用

skype

16

聊天工具应用

telegram

19

表1 恶意应用名称及替换地址数量

3. 通讯服务器及受害者情况

■ 通讯服务器

查询攻击者使用的C2服务器ip 96.9.211.158，归属地位为美国伊利诺伊州芝加哥。

图3-1 C2服务器ip查询

通过分析IP 96.9.211.158发现攻击者的后台服务，在攻击者使用的后台服务中发现了大量银行卡数据、支付宝账户交易数据以及受害者电话号码。

从受害者数据存储时间来看，2022年1月和2月有一定数量的受害者资料入库，说明攻击者在2022年初短暂地进行了一次活动，随后进入了静默期。直到今年4月后台出现了新的受害者，攻击者已然开始了新一轮的活动。

通过分析服务器指纹特征，在进行资产测绘时发现了一款约会软件的分发链接https://16.163.123.220（现已失活），由此揭开了归属同一攻击者针对灰黑产行业的攻击活动，后文将对该样本进行分析。

图3-2 约会软件分发页面

■ 受害者金融数据

在服务器后台发现600余张国内受害者银行卡信息，可以看到大部分银行卡的提现失败记录，虽然存在少部分成功的提现记录，但是之后该卡几乎都进行更大额的充值，最后依旧无法提现。因此推测此为真实的受害者资料。

图3-3 受害者银行卡数据

部分受害者支付宝账户交易数据：

图3-4 受害者支付宝交易数据

部分越南地区受害者电话号码及银行卡数据：

图3-5 越南受害者数据

■ 受害者影响面

根据安天移动大数据查询仿冒Chrome样本，发现国内受害者15000+，另有少部分受害者位于柬埔寨、缅甸、老挝等周边国家。

对攻击者服务器上存储的受害者资料进行整理分析，共计受害者4500+，超50%的受害者资料归属越南，其次为中国、柬埔寨、菲律宾、墨西哥、阿联酋等国。

4. 同源样本分析

通过对仿冒Chrome样本的代码特征进行同源检索，在安天移动样本库中发现2个同源样本，经分析同源样本与原样本的功能和代码结构均一致。

图4-1 样本基本情况

图4-2 样本基本情况

5. 拓线分析

■ Web3钱包类样本分析

以imtoken为例分析Web3钱包类应用，样本存在加固，经动态分析发现样本会在受害者创建助记词时，以明文传输的方式上传助记词至服务器https://16qbci.com/api/ClientMToken/RegainAppMtoken，经查询服务器位于韩国首尔。

样本基本情况如下：

图5-1 样本基本情况

图5-2 上传助记词

■ 聊天工具类样本分析

针对聊天工具类应用，以Telegram作为样本进行分析，样本同样存在加固，会替换聊天过程中双方的虚拟货币地址。

样本基本情况如下：

图5-3 样本基本情况

图5-4 替换虚拟货币地址

■ 约会软件分析

样本基本情况如下：

图5-5 样本基本情况

安装运行样本后，在应用界面的“发现”模块包含了多个商家路线，点击并注册账号后，发现需要邀请码才能进行下一步。

图5-6 应用运行界面

分析人员注册了一个名为“iamgod”的账号，最后在服务器后台的“注册统计”中找到了该账户，由此基本确认了此约会软件为该服务器后台的前台应用。

图5-7 应用运行界面

6. 总结与建议

此次通过分析Chrome重打包样本，发现同一攻击者发起的两条攻击链路，其一通过Chrome重打包样本分发Web3钱包应用和聊天工具应用，窃取受害者助记词和虚拟货币地址，后续受害者极大可能遭到攻击者的勒索和盗币攻击。其二通过约会软件引导受害者做任务充值资金进行诈骗，同时窃取受害者隐私数据和金融数据。此轮攻击活动持续半年，受害者涉及越南、中国、柬埔寨、菲律宾、墨西哥等多个国家，具备较大危害性。

建议

通过官方渠道下载应用，谨慎授权应用设备敏感权限

避免点击未知来源链接

【附录】IOCs

hash  

0697d382b7f9da6639155fc6f56b19ba
a9883639aa3b407b53fc746ebc3f61c2
305147c064c6cad67ab44c2846f4fe2d
91d56a788b294fac74fcf7e2dc3ec3ce
38d04d093a5b9b83fa0a50979a737c68
f7741c704516d4eee0f50bf0c7fbd5d1
22689b095b531b30f5d24e5d772db29b
02ce97e1dde97835a50d32b78bbbd94e
a3fa220d6d6989a845d8f2254e549350
ae77c710d04b6279d4dbaa94480a81f7
a9549afc58399aeccd3ea64201dca2c6
d294b3b5572f690144443a1af9a69493
e1c618c24a226a6c1647e1f880aa73ba

url

https://im-download.org/download/imtoken.apk
https://itoken-app.org/download/itoken.apk
https://mathwallet.la/download/mathwallet.apk
https://mm-down.net/download/metamask.apk
https://tokenpocket-down.org/download/tokenpocket.apk
https://tronlink-apps.net/download/tronlink.apk
https://trustwallet-download.net/download/trust.apk
https://letstallk-apps.com/download/letstalk.apk
https://line-downloads.net/download/line.apk
https://potato-apk.net/download/potato.apk
https://skyppe-download.com/download/skype.apk
https://te1egram-download.com/download/telegram.apk
https://ws-download.com/download/whatsapp.apk

c2

https://feijpic.com/api/ch/me

https://feijwrod.com/api/index/reqaddV2

https://16qbci.com/api/ClientMToken/RegainAppMtoken

https://qscgyj.com/api/index/

http://96.9.211.158:8082/Api/

“

推荐阅读

/////

END

关于安天移动安全

武汉安天信息技术有限责任公司（简称安天移动安全）成立于 2010 年，是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎，在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖，实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累，公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作，为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航，已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命，通过自主创新国际领先的安全核心技术，与产业链各方共同打造操作系统内生安全的绿色生态链，为新时代用户打造国民级安全产品，在万物互联时代营造更安全和可持续的全场景健康数字体验。

关于安天移动威胁情报团队

安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究，由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年，成功通过基于安天移动样本大数据的APT特马风控预警运营体系，持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动，并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究，以安全普惠为核心价值观，建设一支召之即来，来之能战，战之必胜的顶尖网络安全团队，并将长久且坚定地维护移动网络世界安全。