内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体

usdt无需实名交易(www.caibao.it):APT-KBuster仿冒韩国金融机构最新攻击流动追踪

2021-01-20 07:34 出处:  人气:   评论( 0

欧博

欢迎进入allbet欧博官网(www.ALLbetgame.us)。allbet欧博官网开放ALLBET欧博真人客户端、Allbet代理网页版、Allbet会员网页版、Allbet会员注册、Allbet代理开户、Allbet电脑客户端下载、Allbet手机版下载等业务。

概述:疫情还未竣事,敲诈者就已经摩拳擦掌,年中时分,KBuster团伙再次发力,非法获取大量用户数据。

近期恒安嘉新暗影平安实验室通过APP全景态势与案件情报溯源挖掘系统,发现KBuster组织针对韩国区域举行的仿冒金融机构的最新钓鱼流动,此次攻击流动从2019年12月最先延续到2020年8月,攻击者可能来自荷兰。该组织会行使xampp框架搭建钓鱼网站向外流传仿冒APP。经剖析发现该类软件具有信息窃取、远程控制和系统损坏的恶意行为。此次攻击流动行使的样本,包名具有显著的相似性;窃取用户信息时,行使FileZilla天生FTP服务器,用于吸收用户信息,服务器上绑定有大量的延续ip地址,形成ip地址池,推测用于链接防封,从而稳定地获取用户信息,使用了云云多的网络基础资源,也从侧面印证了该组织财力可观。

1. 程序运行流程图

恶意程序运行主要分为两大功效,第一种功效会仿冒金融结构,诱导用户填写小我私家信息,行使提醒信息诱骗用户拨打电话联系咨询员,并自动监听手机通话状态,行使黑名单来自动挂断指定号码;第二种功效会获取小我私家敏感信息,包罗用户通讯录、短信、通话记录等小我私家信息上传到指定服务器,还会获取用户保留在SD卡上的种种文件(如doc、xlsx、pdf等),而且有意识的网络韩国本土办公软件的文件(如hwp类型);该软件还留有远控模块,利便日后升级与延续获取信息。

图1-1 程序运行流程图

此次流动,行使的样本包名相似度极高,具有一定的命名纪律,都市包罗要仿冒的金融机构的缩写和一串数字组成:

图2-1 包名对比

2. 样本基本信息

本次以“현대캐피탈”软件为例举行剖析。

3. 手艺原理剖析

3.1 仿冒金融机构

仿冒金融机构的应用图标。

图2-2 仿冒金融机构的应用图标(部门展示)

程序启动后加载自己携带的仿冒界面:

图2-3 加载的仿冒页面

2.2 程序恶意行为

(1)忽略电池优化,保障应用在后台正常运行。

图2-4 忽略电池优化

(2)设置主要服务开机自启,用于历程保活:

图2-5 服务自启

(3)获取手机号码等固件信息经由BASE64加密后举行上传:

图2-6 上传基本信息

(4)获取已安装应用列表举行上传:

图2-6 上传应用列表

(5)监听通话状态,通过黑名单挂断指定电话:

图2-7 挂断指定电话

(6)对外呼电话举行录音并保留内陆,守候上传:

图2-8 通话录音

(7)程序留有远控模块,利便后期更新和延续获取信息:

图2-9 剖析指令

指令列表:

服务器


远控指令


对应操作


http://110.173.***.10:3500/socket.io


update


安装升级包


x0000mc sec


设置时间,准时录音并上传,然后删除录音文件


order_x0000lm


上传地理位置信息


order_x0000cn


上传通讯录


order_liveSM


上传短信


liveCallHistory


,

欧博网址

欢迎进入欧博网址(Allbet Gaming):www.aLLbetgame.us,欧博网址开放会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

,

上传通话记录


addContact


插入通讯录联系人


deleteContact


删除指定通讯录联系人


order_getAppList


上传应用列表


permission


请求通讯录、监听短信、读取通话日志、获取精准位置、录音等权限


serverRestart


重启SmartService


file extra=del


删除指定文件


file extra=all


上传指定类型的所有文件到ftp服务器


file extra=up


获取文件


file extra=ls


获取指定文件列表


file extra=dl


上传指定文件


2.3 上传用户小我私家信息

(1)程序通过FTP服务器,将获取的用户短信、通讯录、通话记录、录音文件加密后举行上传。

图2-10 获取短信

图2-11 获取通讯录

图2-12 获取通话记录

图2-13 举行上传

(2)该程序包罗有三个专门用于吸收小我私家隐私信息的FTP服务器地址,服务器上包罗有大量用户数据,凭据上传日期判断,最早在2020年5月最先举行网络用户数据。

图2-14 上传的用户数据

图2-15 数据解密

2.4 上传SD卡信息

(1)程序会在SD卡中搜索hwp、doc、docx、dwg、xls、xlsx、ppt、pptx、pdf、eml、msg、email、rar、zip、egg、7z、alz、iso花样的文件举行上传。

图2-16 获取的文件类型

(2)该程序有一个专门用于吸收用户文件的FTP服务器:

图2-17 上传的用户文件(包罗doc、xlsx、pdf、hwp等文件)

图2-18 FTP通讯

4. 服务器溯源

(1)该软件使用的服务器,ip归属地为香港,端口接纳3500,首次接见会要求使用websocket协议举行毗邻。

url:http://110.173.***.10:3500/socket.io

ip地址:110.173.***.10

图3-1 ip归属地

4. 样本信息

5. 平安建议

· 让你的装备保持最新,最好将它们设置为自动补丁和更新,这样纵然你不是最熟悉平安的用户,你也能获得珍爱。

· 坚持去正规应用商铺下载软件,制止从论坛等下载软件,可以有用的削减该类病毒的损害。

· 安装好杀毒软件,能有用的识别已知的病毒。

分享给小伙伴们:
本文标签: 资讯

相关文章

Copyright © 2002-2019 长春新闻网 版权所有 Power by DedeMao