AVPass技术分析:银行劫持类病毒鼻祖BankBot再度来袭,如何绕过谷歌play的杀毒引擎?

  • 时间:
  • 浏览:3
  • 来源:uu快3和值_uu快3app_计划师

1、使用成熟期是什么是什么图片 图片 期期的AVPass技术,可绕过反病毒检测系统

攻击者一旦成功截获受害者银行账号、密码和短信动态验证码,将绕过银行双因素认证,那我受害者们不仅仅构造成了有2个多 可不不可不可以被攻击者控制的移动僵尸网络,更成了攻击者的火山玻璃提款机。

目前,各大银行实施双因素认证即在支付过程中进行身份认证和基于手机动态密码的验证。BankBot在通过钓鱼拿到用户银行身份信息后,还差动态短信,就让 BankBot直接使用短信劫持,但那我杀软可通过静态或动态检测出恶意行为。新型BankBot通过集成谷歌提供的Firebase Cloud Messaging(简称FCM)框架,利用FCM向指定设备发送指令数据,从而获取受害者短信验证码,也可是我控制端在成功钓鱼后,通过FCM下发获取短信的指令,病毒读取最新短信,通过网络上传至控制端。下图整个攻击流程。

Binary Obfuscation

1、建议用户安装钱盾等手机安全软件,定期进行病毒扫描。

2、对抗动态沙盒

病毒AvPass工作流程图如下:

下图运行设备检测

3、FCM远控,获取短信验证码

FCM下发的指令数据还包括:更新C&C地址、弹伪造的通知栏、界面劫持数据,其中弹伪造的通知栏和界面劫持时会BankBot的钓鱼手段。下图下发的指令数据。

混淆自身形态学 ,包括类名、函数名、字符串加密、反射调用,并将待劫持应用包名sha1编码,就让使用加固技术,将恶意dex打包加密。出理 后的app如下图:

------------------------------

安全建议

能上架应用商店和入侵用户手机,BankBot使用了AVPass技术,包括针对静态分析和动态沙盒的逃逸,那我成功绕过大多数杀毒引擎。可信应用商店+绕过杀毒引擎,那我病毒自然能轻松入侵用户手机。本文接下来的内容将解析BankBot是怎样规避杀毒引擎,病毒劫持钓鱼过程可参考《警惕一大波银行类木马正在靠近,新型BankBot木马解析》

近期,一批伪装成flashlight、vides和game的应用,发布在google play官方应用商店。经钱盾反诈实验室研究发现,该批恶意应用属于新型BankBot。Bankbot家族算得上是银行劫持类病毒鼻祖,在今年年初曾爆发,就让 主要针对欧洲国家,可劫持500多家银行应用,而新发酵的BankBot已将攻击目标扩散到全球,可劫持银行增加到145家。

通过自检测运行环境和增加用户行为交互对抗沙盒,新型BankBot非要同時 满足以下4条才会触发恶意行为:

 那么 新型BankBot是为什么会再次入侵用户手机?

* 作者:钱盾反诈实验室,更多安全类热点信息和知识分享,请关注阿里聚安全的官方博客

2、切勿点击任何陌生链接,尤其是短信、QQ、微信等聊天工具中很熟识的“大家 ”发来的链接。

AVPass分析