关键点
2022 年 6 月,Cleafy TIR 团队发现了一个新的 Android 银行木马。由于该恶意软件家族缺乏信息且没有适当的命名,我们决定将其命名为 Revive,以便在我们的内部威胁情报分类中更好地跟踪该家族。 之所以选择Revive这个名称,是因为恶意软件的一项功能(由 TA 准确地称为“revive”)正在重新启动,以防恶意软件停止工作。 Revive 属于用于持续活动的恶意软件类别,因为它是为特定目标开发和定制的。这种类型的恶意软件与其他著名的 Android 银行木马有很大不同,例如TeaBot或SharkBot,它们能够同时通过其模块化架构攻击安装在受感染设备上的多个银行/加密应用程序。 然而,Revive 的攻击方法与其他银行木马相似,因为它仍然滥用辅助功能服务来执行键盘记录活动并拦截受害者的 SMS 消息。这些功能的组合足以执行帐户接管攻击 (ATO),因为 TA 能够获得登录凭据和银行通过 SMS 发送的 2FA/OTP。 到目前为止,两个 Revive 样本的防病毒解决方案 (AV) 的检测率都非常低。如图 2 所示,第二个样本的检测率为零,因为该恶意软件显然仍在开发中。
技术分析
图 3 - 用于交付 Revive 的钓鱼网站 与大多数情况一样,Revive 使用不同的社会工程学技术以合法应用程序的形式出现,以误导受害者。事实上,恶意软件是通过网络钓鱼页面传递的,它隐藏在目标银行的新 2FA 应用程序后面。 一旦受害者下载了恶意软件,Revive 就会尝试通过弹出窗口获取辅助功能服务功能。此权限用于功能,因此监视和窃取受害者设备的信息。
当受害者第一次打开恶意应用程序时,Revive 要求接受与短信和电话相关的两项权限。之后,一个克隆页面(目标银行的)出现在用户面前(如图 5 所示),如果登录凭证被插入,它们将被发送到 TA 的 C2。之后,恶意软件会显示一个通用主页,其中包含重定向到合法银行网站的不同链接。
分析代码,我们的假设是 Revive 的开发人员从 GitHub[ 3 ]上提供的名为“Teardroid”的开源间谍软件中获得灵感,因为在应用程序和使用的 C2 基础架构中存在一些代码和名称相似性。然而,Teardroid 是一种具有不同功能的间谍软件,而 Revive 的开发目的则不同。TA 删除了 Teadroid 的一些功能,并在这个新变体中添加了新功能,从而启用了 ATO 攻击。这就是为什么 Revive 可以被视为银行木马而不是间谍软件的原因。
转向其 C2 基础架构,还可以观察到其他类似的功能,因为它们似乎都基于 FastAPI,这是一个用于在 Python 中开发 RESTful API 的 Web 框架,类似于 Django/Flask。 事实上,TA 似乎还创建了 Teadroid 控制面板 [ 4 ] 的变体,在欺诈操作期间根据他们的需要进行调整(例如收集有效凭据、拦截 SMS 消息等)。 下图显示了我们在调查中发现的一些相似之处:
evive 的开发目标是针对特定目标执行 ATO 攻击。为了完成这个任务,恶意软件具有三个能力:
[3] https://github.com/ScRiPt1337/Teardroid-phprat [4] https://github.com/ScRiPt1337/Teardroidv4_api 最后的考虑除了著名的 Android 银行木马,如 SharkBot、TeaBot 或 Oscorp/UBEL,它们是具有多种功能的复杂恶意软件,能够执行 ATO/ATS 等高级攻击,还有可能由本地 TA 进行的小型定制活动. 后一种情况有时可能更难拦截,因为恶意软件通常是从头开始编写的(通常不会被防病毒解决方案检测到),几乎没有为一个目标量身定制的功能,而且活动只进行了几天。 在撰写本文时,很难对 Revive 的未来做出假设,因为该恶意软件仍处于早期阶段(尽管它已经能够执行 ATO 攻击);TA 可以通过多种途径对其进行改进(例如添加新功能并将 Revive 转换为 RAT 或为其他目标定制恶意软件)。 来源:https://www./ |
|
|
