攻击者发动木马程序攻击,目标从以往的个人计算机,渐渐转移到移动设备。其中,安卓手机的用户,能够从官方市场以外的来源安装应用程序,而成为不少木马程序锁定的目标。
在11月中旬,研究人员披露多个新兴的安卓木马程序,分别为BrazKing、SharkBot,以及Gravity,攻击手法相当狡猾,若不慎上当、安装这些恶意程序,设备存放的个人资料不只会被窃取,对方也可能通过手机里的银行App,将受害者的银行账户的存款领走。
虽然这些恶意软件的攻击手法有不少差异,但相同的是,这些木马程序都采用多种反侦测的机制,如:不会在Android模拟器环境执行、程序代码采用算法进行混淆等,且研究人员难以确认攻击者身份。
为了能够在受害设备畅行无阻,许多木马程序都会强迫用户授给各式的访问权限。但也有攻击者反其道而行,只滥用辅助服务,最终照样能执行各种窃密的工作。
IBM威胁情报团队针对新版BrazKing银行木马分析后,就有类似的发现。他们表示,攻击者采用相当少见的手法,来回避安全系统的侦测。例如,BrazKing因为直接使用系统的辅助服务,而只需要少量的权限即可执行窃密工作;对于覆盖手机屏幕的内容,BrazKing会侦测正在执行的处理程序,再从C2中继站下载所需的工具,而能躲过安全人员设置的沙箱或虚拟机环境。
BrazKing在受害者安装完成后,会请求辅助服务的访问权限,但这个木马程序会显示如Google图标,借此让受害者误以为是Google的应用程序请求有关访问权限,而上当、同意给予权限。
研究人员表示,BrazKing的独特之处,在于它是通过C2中继站进行分析之后,确认受害设备是真实的移动设备,且位于目标地区:巴西,才会侦测受害手机状态,显示对应的覆盖画面。一旦BrazKing发现自己处于沙箱,或是设备位于巴西以外的国家,便不会攻击。
究竟BrazKing是如何在缺少各式权限的情况下,进行窃密的工作?IBM指出,攻击者主要是充分利用辅助工具完成。例如,针对手机屏幕呈现内容的截取,BrazKing是通过程序语言来解析,而非屏幕截屏。
而对于短信与联系人资料的获取,BrazKing也通过解析屏幕画面的内容来完成,不需访问短信与联系人信息的许可。除了设法拿到设备里存储的短信与联系人资料,攻击者也运用相同手法,监听用户在手机屏幕虚拟键盘输入的内容。
由此看来,BrazKing很依赖C2中继站发号司令,而为了持续通信,这个木马程序,使用的通信协议是WebSocket,并非许多木马程序使用的HTTP。事实上,WebSocket通信协议提供了双向通信的渠道,并在握手时采用升级版HP标头,来排列BrazKing的工作,而这些工作将会个别执行,并从C2接收不同的任务。
而对于攻击者运用BrazKing的方式,研究人员指出,主要是借由C2中继站进行控制,来进行欺诈攻击。
例如,攻击者可向BrazKing下达显示屏幕通知的命令,引诱受害者打开银行App,然而,针对线上交易常见的双重验证(2FA),BrazKing也有方法突破——在手机接收到短信验证码后,显示假的PIN码输入画面,进而让攻击者取得这笔验证码,完成诈骗交易。
黑客借由木马程序来窃取受害者银行帐密的手法,屡见不鲜,但近期这类恶意软件的攻击方式,也出现变化。
例如,提供网络诈骗防治解决方案的安全企业Cleafy指出,10月底他们发现新的安卓木马程序SharkBot,一旦受害手机安装了这个恶意软件,攻击者将会通过系统的辅助服务,掌控用户的银行信息,且窃取帐密与信用卡资料,此外,该木马程序,也具备拦截银行发送的SMS短信的能力。
分析僵尸网络的架构之后,Cleafy认为,该僵尸网络锁定目标,可能是英国、意大利及美国的银行与加密货币交易所。Cleafy指出,他们至少看到22个组织遭到攻击,这些单位多半是英国与意大利的银行,其中,有5个是提供加密货币服务的企业。
相较于其他现存恶意程序,Cleafy认为,SharkBot属于时代较新的移动设备恶意软件,因为它能发动“自动转帐系统(Automatic Transfer System,ATS)”攻击手法,利用受害者的设备,将用户的银行账户存款偷走。
什么是自动转帐系统攻击?这其实是一种高端攻击手法,相关的工具能在遭黑的设备里,于银行App上自动填入特定的资料,进而在受害者最少操作次数的状况下,将银行账户存款转走。不过,能够发动ATS攻击的木马程序,SharkBot并非首例。在2019年3月出现的Gustuff,就具备这类机制。
银行木马SharkBot采用自动转帐系统(ATS)的攻击手法,能自动将受害者的银行存款,转到攻击者的账户,图中便是SharkBot执行ATS攻击,将用户在银行App输入的国际银行账户号码(左),置换成攻击者的账户号码(右)。
根据SharkBot具备ATS攻击能力的这项发现,Cleafy推测,攻击者应该是滥用辅助服务,也即Android操作系统的内置功能,从而绕过许多银行与金融服务里,所采行的用户行为侦测措施,像是生物识别的验证机制,来完成自动化攻击。
而在攻击者滥用Android的系统辅助功能后,不只可以发动ATS攻击,还能借此执行其他行动。例如,进行屏幕覆盖攻击(Overlay Attack)窃取登录应用程序的帐密,以及信用卡资料;或者,拦截或隐藏受害设备收到的短信。研究人员认为,攻击者甚至能取得完整的系统访问控制权,可从远程控制受害的Android设备。
除了上述攻击手法,这个恶意软件具备多种反侦测能力,像是可以反制模拟器的检查功能、隐藏应用程序的图标等。而在与C2中继站通信的过程中,SharkBot不只使用域名产生算法(DGA)来连接,全程也使用Base64算法遮掩。
有些黑客组织原先是锁定个人计算机下手,后来转移目标到移动设备。例如,近期出没的Gravity木马程序,早期主要是针对Windows计算机出手,曾于2018年攻击印度武装部队而引起安全人员的注意。到了这2到3年,Gravity又衍生出Android与macOS的版本,而不再只是针对Windows发动攻击。
根据安全企业Cyble最近的发现,有人从印度上传新版Gravity木马程序,到VirusTotal分析。他们研究这个木马之后,发现攻击者将其包装成名为SoSafe Chat的即时通信App,而且是针对Android设备而来,让受害者以为自己安装新的即时通信软件而上当。
攻击者为了让受害者上当,不仅将Gravity伪装即时通信软件,还成立了“官方网站”,煞有其事地介绍这套软件。不过,Cyble指出,这个网站的下载按钮,以及用户注册的功能,似乎都遭到了停用。
为了让受害者相信SoSafe Chat是正派的即时通信软件,Gravity木马程序的攻击者设立专属网站,其中不只有软件的简单介绍,也有用户登录与申请账号的接口。无论从应用程序的图标,或是网站上的说明信息,受害者都很难发现这其实是捏造的即时通信软件。
一旦受害者在手机上安装了这款恶意App,联系人资料、短信,以及机密文件等资料将会遭到窃取。Gravity会向用户要求多达42项权限,但实际滥用的共13项,有了这些,对方可访问短信、联系人、联系历史、修改系统设置、读取电信网络的信息,以及读取及写入文件、录音、取得设备的地理位置、取得网络连接。
但发动攻击的组织或个人身份,至今仍不得而知。Cyble指出,无论是从木马程序或网站进行分析,仍然难以确认背后的攻击者。虽然,先前使用Gravity木马程序的攻击里,研究人员怀疑,可能就是巴基斯
坦的黑客组织所为,但是,目前Cyble所采集到的证据有限,尚无法印证攻击者就是来自巴基斯坦。