长春新闻网_长春新闻 ( http://www.ahbasic.com ):usdt无需实名交易(www.caibao.it):APT-KBuster仿冒韩国金融机构最新攻击流动追踪
欢迎进入allbet欧博官网(www.ALLbetgame.us)。allbet欧博官网开放ALLBET欧博真人客户端、Allbet代理网页版、Allbet会员网页版、Allbet会员注册、Allbet代理开户、Allbet电脑客户端下载、Allbet手机版下载等业务。
概述:疫情还未竣事,敲诈者就已经摩拳擦掌,年中时分,KBuster团伙再次发力,非法获取大量用户数据。
近期恒安嘉新暗影平安实验室通过APP全景态势与案件情报溯源挖掘系统,发现KBuster组织针对韩国区域举行的仿冒金融机构的最新钓鱼流动,此次攻击流动从2019年12月最先延续到2020年8月,攻击者可能来自荷兰。该组织会行使xampp框架搭建钓鱼网站向外流传仿冒APP。经剖析发现该类软件具有信息窃取、远程控制和系统损坏的恶意行为。此次攻击流动行使的样本,包名具有显著的相似性;窃取用户信息时,行使FileZilla天生FTP服务器,用于吸收用户信息,服务器上绑定有大量的延续ip地址,形成ip地址池,推测用于链接防封,从而稳定地获取用户信息,使用了云云多的网络基础资源,也从侧面印证了该组织财力可观。
1. 程序运行流程图
恶意程序运行主要分为两大功效,第一种功效会仿冒金融结构,诱导用户填写小我私家信息,行使提醒信息诱骗用户拨打电话联系咨询员,并自动监听手机通话状态,行使黑名单来自动挂断指定号码;第二种功效会获取小我私家敏感信息,包罗用户通讯录、短信、通话记录等小我私家信息上传到指定服务器,还会获取用户保留在SD卡上的种种文件(如doc、xlsx、pdf等),而且有意识的网络韩国本土办公软件的文件(如hwp类型);该软件还留有远控模块,利便日后升级与延续获取信息。
图1-1 程序运行流程图
此次流动,行使的样本包名相似度极高,具有一定的命名纪律,都市包罗要仿冒的金融机构的缩写和一串数字组成:
图2-1 包名对比
2. 样本基本信息
本次以“현대캐피탈”软件为例举行剖析。
3. 手艺原理剖析
3.1 仿冒金融机构
仿冒金融机构的应用图标。
图2-2 仿冒金融机构的应用图标(部门展示)
程序启动后加载自己携带的仿冒界面:
图2-3 加载的仿冒页面
2.2 程序恶意行为
(1)忽略电池优化,保障应用在后台正常运行。
图2-4 忽略电池优化
(2)设置主要服务开机自启,用于历程保活:
图2-5 服务自启
(3)获取手机号码等固件信息经由BASE64加密后举行上传:
图2-6 上传基本信息
(4)获取已安装应用列表举行上传:
图2-6 上传应用列表
(5)监听通话状态,通过黑名单挂断指定电话:
图2-7 挂断指定电话
(6)对外呼电话举行录音并保留内陆,守候上传:
图2-8 通话录音
(7)程序留有远控模块,利便后期更新和延续获取信息:
图2-9 剖析指令
指令列表:
服务器 |
远控指令 |
对应操作 |
http://110.173.***.10:3500/socket.io |
update |
安装升级包 |
x0000mc sec |
设置时间,准时录音并上传,然后删除录音文件 |
|
order_x0000lm |
上传地理位置信息 |
|
order_x0000cn |
上传通讯录 |
|
order_liveSM |
上传短信 |
|
liveCallHistory , |
上传通话记录 |
|
addContact |
插入通讯录联系人 |
|
deleteContact |
删除指定通讯录联系人 |
|
order_getAppList |
上传应用列表 |
|
permission |
请求通讯录、监听短信、读取通话日志、获取精准位置、录音等权限 |
|
serverRestart |
重启SmartService |
|
file extra=del |
删除指定文件 |
|
file extra=all |
上传指定类型的所有文件到ftp服务器 |
|
file extra=up |
获取文件 |
|
file extra=ls |
获取指定文件列表 |
|
file extra=dl |
上传指定文件 |
2.3 上传用户小我私家信息
(1)程序通过FTP服务器,将获取的用户短信、通讯录、通话记录、录音文件加密后举行上传。
图2-10 获取短信
图2-11 获取通讯录
图2-12 获取通话记录
图2-13 举行上传
(2)该程序包罗有三个专门用于吸收小我私家隐私信息的FTP服务器地址,服务器上包罗有大量用户数据,凭据上传日期判断,最早在2020年5月最先举行网络用户数据。
图2-14 上传的用户数据
图2-15 数据解密
2.4 上传SD卡信息
(1)程序会在SD卡中搜索hwp、doc、docx、dwg、xls、xlsx、ppt、pptx、pdf、eml、msg、email、rar、zip、egg、7z、alz、iso花样的文件举行上传。
图2-16 获取的文件类型
(2)该程序有一个专门用于吸收用户文件的FTP服务器:
图2-17 上传的用户文件(包罗doc、xlsx、pdf、hwp等文件)
图2-18 FTP通讯
4. 服务器溯源
(1)该软件使用的服务器,ip归属地为香港,端口接纳3500,首次接见会要求使用websocket协议举行毗邻。
url:http://110.173.***.10:3500/socket.io
ip地址:110.173.***.10
图3-1 ip归属地
4. 样本信息
5. 平安建议
· 让你的装备保持最新,最好将它们设置为自动补丁和更新,这样纵然你不是最熟悉平安的用户,你也能获得珍爱。
· 坚持去正规应用商铺下载软件,制止从论坛等下载软件,可以有用的削减该类病毒的损害。
· 安装好杀毒软件,能有用的识别已知的病毒。
