Ditulis ku Dexter Shin

Tim Panaliti Mobile McAfee kapanggih Androids trojans perbankan ditandatanganan ku a konci pamakéan sah aplikasi di Koréa Kidul taun kamari. Ku rarancang, Android peryogi sadaya aplikasi éta kudu ditandatanganan ku a konci, istilah sanésna toko konci, ngarah bisa dipasang atawa diropéaD. Kusabab ieu konci ngan bisa dipaké ku pamekar WHO nyiptakeunanaaplikasi ditandatanganan kalawan sarua konci nyaeta dianggap ka milik pamekar sarua. Éta kasus pikeun Android ieu Banking trojan anu ngagunakeun ieu sah konci signing ka bypass téhnik deteksi dumasar signature. Sareng trojan perbankan ieu teu acan disebarkeun dina Google Play atanapi toko aplikasi resmi dugi ka ayeuna. ancaman ieu geus diungkabkeun ka Anu pausahaan nu boga sah konci taun kamari Jeung Qanjeunna perusahaan parantos nyandak ukuran preventif. Qmilikna pausahaan negeskeun Anu aranjeunna geus digantiD Anu konci signing Jeung Dina waktos ayeuna, sadayanair aplikasi valid ditandatanganan ku nu anyar konci signing.

Malware Android nganggo anu sah nandatanganan konci

Iraha nyukcruk Androids trojans perbankan Telepon palsu urang manggihan a Sampel make sarua konci signing salaku A Sehatdipikanyaho aplikasi dina basa Korea. aplikasi ieu dimekarkeun ku A ngarah HE palayanan pausahaan kalawan lega usahaés dina sagala rupa sektor, kaasup tapi henteu diwatesan ku IT, gaming, pamayaran, jeung iklaning. Urang mastikeun yén paling sampel bahaya ngagunakeun ieu konci pura-pura a banking aplikasi sabab ngagunakeun ikon sarua jeung aplikasi perbankan aslina.

Jumlah 1. Mmalware Jeung aplikasi sah dina Google Play

Metodeu sebaran panganyarna na sQka urang

Domain diverifikasi ahir Agustus nalika urang mimiti mendakan sampelna ayeuna turun. Sanajan kitu, urang nalungtik ngeunaan URL ka Ieu malware Jeung Urang kapanggih sarupa Hiji patali jeung ancaman ieu. Di antarana, urang dicirikeun A situs phishing nyaeta masih hirup salila urang diajar. Situs ieu ogé nyamar salaku situs perbankan.

Jumlah 2. Kaca phishing disguised salaku A Koréa perbankan lokasi

Kami ogé mendakan éta aranjeunna ngamutahirkeun Anu informasi domain tina halaman wéb ieu sababaraha poé saméméh panalungtikan urang.

Janten Urang nyandak katingal deeper dina ieu domain sarta kami kapanggih tambihan IP anu teu biasa alamat nu ngarah urang ka Cparéntah jeung Ckadali(C2) server halaman admin dipaké ku penjahat cyber kadali Anu alat nu kainféksi.

Jumlah 3. Telepon palsu Cparéntah jeung kontrol (C2) admin kacaS

Kumaha Gawe

Iraha urang dipariksa struktur file apk, urang tiasa ningali éta malware ieu migunakeun A packer pikeun ngahindarkeun analisa sareng deteksi. Kodeu jahat énkripsi dina salah sahiji file di handap ieu.

Jumlah 4. milik Tencent Legu pakét perpustakaan

Saatos ngadekrip file DEX, kami mendakan sababaraha fungsi anu teu biasa. Kodeu di handap nampi inpormasi pakét Android tina file anu nganggo ekstensi HTML.

Jumlah 5. Kode questionable dina file DEX decrypted

file ieu sabenerna APK sejen (Aplikasi Android) tinimbang file HTML tradisional dirancang pikeun dipintonkeun dina web browser.

Jumlah 6. file APK nyamar salaku HTML ngalebetkeun

Iraha pamaké ngaluncurkeun malware, anjeunna langsung kahoyong idin pikeun masang séjén aplikasi. Saterusna anjeunna trnyaéta pikeun masang hiji aplikasi simpen di Anu aset diréktori salaku pendahuluan.html”. Anupendahuluan.html“nyaéta A file APK Jeung nyata jahat kabiasaan kajadianIeuh.

Jumlah 7. Penetes nyarankeun Anjeun masang utama muatan

Nalika payload anu turun badé dipasang, éta naroskeun sababaraha idin pikeun ngaksés inpormasi pribadi anu sénsitip.

Jumlah 8. Idin diperlukeun ku penjahat utama aplikasi

oge ngadaptar sajumlah jasa jeung panarima pikeun ngadalikeun bewara ti alat jeung narima pesenan ti jauh Komando jeung server Control.

angka 9. Jasa jeung panarima didaptarkeun ku payload utama

Sabalikna, malware ngagunakeun sah Puih SDK ka narima NgarajaanS ti server jauh. Ieu Anu daptar lengkep paréntah jeung milikna obyektif.

Ngaran paréntah Tujuanana
catetan unggah pesen sms
enter_transfer unggah nomer panelepon
del_phone_record mupus log telepon
zhuanyi set panggero diteruskeun kalawan parameter
clear_note ngahapus pesen sms
assigned_zhuanyi nyetél telepon diteruskeun
ngalebetkeun unggah file
lanjie meungpeuk pesen sms ti nomer nu tangtu
sadaya data Panggihan sadaya file anu mungkin sareng unggah
email_send ngirim e-mail
rékaman_telepon ngarékam panggero aktip
asup jeung kaluar remapping on server C2
daptar hideung ngadaptar salaku blacklist
jumlah pangdéngé euweuh fungsi
no_listener_num nganonaktipkeun ngawaskeun angka husus
ngawangun deui reset tur sambungkeun deui kalawan C2
ngahapus file ngahapus file
num_address_list unggah kontak
tambahkeun kontak tambahkeun kontak
all_address_list unggah rekaman panggero
ngahapus kontak ngahapus kontak
catetan_intercept intercept pesen sms ti nomer husus
intercept_all_phones nyegat pesen sms ti sadayana
tanggal_hapus mupus sadaya file
clear_phone_contact mupus sadaya kontak
clear_phone_record mupus sadaya log telepon
per_catetan unggah pesen sms gancang
soft_name unggah ngaran aplikasi

Penjahat siber terus-terusan mekar sareng ngagunakeun cara-cara anyar pikeun ngalangkungan pamariksaan kaamanan, sapertos nyalahgunakeun konci panandatanganan anu sah. Untungna, teu aya karuksakan kana pamaké salaku hasil tina bocor konci signing ieu. Nanging, kami nyarankeun yén pangguna masang parangkat lunak kaamanan dina alatna pikeun ngaréspon ancaman ieu. Ogé, pamaké disarankan pikeun ngundeur tur ngagunakeun aplikasi ti toko aplikasi resmi.

McAfee Mobile Security ngadeteksi ancaman ieu kusabab Android / Banker henteu paduli aplikasina ditandatanganan ku konci tandatangan anu sah sateuacanna.

Indikator kompromi

SHA256 Ngaran Tipe
7f4670ae852ec26f890129a4a3d3e95c079f2f289e16f1aa089c86ea7077b3d8 신한신청서 Penetes
9e7c9b04afe839d1b7d7959ad0092524fd4c6b67d1b6e5c2cb07bb67b8465eda 신한신청서 Penetes
21ec124012faad074ee1881236c6cde7691e3932276af9d59259df707c68f9dc 신한신청서 Penetes
9621d951c8115e1cc4cf7bd1838b8e659c7dea5d338a80e29ca52a8a58812579 신한신청서 Penetes
60f5deb79791d2e8c2799e9af52adca5df66d1304310d1f185cec9163deb37a2 보안인증서 Bankir
756cffef2dc660a241ed0f52c07134b7ea7419402a89d700dffee4cc6e9d5bb6 보안인증서 Bankir
6634fdaa22db46a6f231c827106485b8572d066498fc0c39bf8e9beb22c028f6 보안인증서 Bankir
52021a13e2cd7bead4f338c8342cc933010478a18dfa4275bf999d2bc777dc6b 보안인증서 Bankir
125772aac026d7783b50a2a7e17e65b9256db5c8585324d34b2e066b13fc9e12 보안인증서 Bankir
a320c0815e09138541e9a03c030f30214c4ebaa9106b25d3a20177b5c0ef38b3 보안인증서 Bankir
c7f32890d6d8c3402601743655f4ac2f7390351046f6d454387c874f5c6fe31f 보안인증서 Bankir
dbc7a29f6e1e91780916be66c5bdaa609371b026d2a8f9a640563b4a47ceaf92 보안인증서 Bankir
e6c74ef62c0e267d1990d8b4d0a620a7d090bfb38545cc966b5ef5fc8731bc24 보안인증서 Bankir

Domain:

  • http[://]o20-app.dark-app.net
  • http[://]o20. jeruk-aplikasi. kiwari
  • http[://]jeruk20. jeruk-aplikasi. kiwari


#Fakecalls #Android #Malware #Nyalahgunakeun #Key #Signing #Sah