首页
社区
课程
招聘
Acecard家族木马演变史
发表于: 2016-3-16 10:07 1401

Acecard家族木马演变史

2016-3-16 10:07
1401
新闻链接:http://bbs.kafan.cn/thread-2032608-1-1.html
新闻时间: 2016-3-12 01:57:14
新闻正文:Acecard家族木马演变史

The evolution of Acecard
Acecard家族木马演变史

原文地址来自卡巴Securelist

前言

当我们编写2015年Q3威胁演化报告时,我们得知澳大利亚被银行木马攻击的用户是最多的。我们决定查明真相。最终找出罪魁祸首是Trojan-Banker.AndroidOS.Acecard。几乎所有攻击澳大利亚用户的银行木马都是这个家族的成员。

我们认真分析了这个家族木马的所有已知变种。我们十分确定,它们攻击了各种应用程序。攻击目标包括9个官方版本的社交应用,木马设法窃取密码。一些包含包含用户信用卡信息的程序,也被木马锁定为攻击目标。当然最严重的是,木马的攻击列表包含了近50家金融机构的用户客户端程序。Acecard的变种利用它们所掌握的工具来完成攻击。它们窃取银行发给用户的短信,用自己的钓鱼窗口覆盖掉官方应用的窗口来诱骗人上当。

这里告诉大家一个有趣的事,我们确认编写Acecard的网络犯罪分子,和编写Backdoor.AndroidOS.Torec.a(运行在安卓平台)的网络犯罪分子是一伙的。Backdoor.AndroidOS.Torec.a危害很大,可以算作安卓的头号木马,它的知名度不亚于第一个加密安卓移动设备获取赎金的Trojan-Ransom.AndroidOS.Pletor.a。

How it all started

鉴于Acecard的蔓延,和其编写者技术的熟练程度,我们决定深入研究这个木马家族的历史。

这一切都源于Backdoor.AndroidOS.Torec.a。在2014年2月,我们首次检测到了这种木马的第一版,它有这些行为:

•拦截传入的短消息
•停止拦截传入的短消息
•发出USSD请求
•监听传入的短消息
•停止监听传入的短消息
•向服务器发送手机的号码,所在国家/地区,IMEI,手机型号系统版本
•向服务器发送在手机上安装程序的列表
•给指定的号码发送短信
•改换设备的控制编号

接着在2014年4月,又出来一个新版本,有更多的行为:

•向服务器发送设备的具体坐标位置
•向短信拦截列表添加号码
•可以清除短信拦截列表
•从短信拦截列表里移除号码
•向一个制定的特殊号码发送带有木马ID的短信

在2014年5月下旬,我们检测到了第一个加密移动设备的木马,它是Trojan-Ransom.AndroidOS.Pletor.a。它把设备上的文件夹加密,要求受害者付钱来解锁这些文件,否则文件再也不能使用了。Pletor的一些变种使用匿名加密技术来和服务器交换信息。

几个月后,我们检测到了新的变种,Backdoor.AndroidOS.Torec。它和以前的变种不大一样,它不使用匿名加密技术,木马覆盖掉了官方Google应用商店的窗口,弹出自己的钓鱼窗口,并要求输入银行卡信息。

我们把这种新变种重新定义为Trojan-Banker.AndroidOS.Acecard.a ,它被看作是一个单独的木马家族。从那时起,Acecard家族的木马程序就源源不断的被检测到。我们分析比对了Backdoor.AndroidOS.Torec.a, Trojan-Ransom.AndroidOS.Pletor.a 和Trojan-Banker.AndroidOS.Acecard.a 的代码,最后确认是同一个网络犯罪集团所为。下面给大家介绍一个清晰的例子。

•Trojan Backdoor.AndroidOS.Torec.a的一段代码

•Trojan-Banker.AndroidOS.Acecard.a的一段代码

•Trojan-Ransom.AndroidOS.Pletor.a的一段代码
再举另一个例子

•Trojan Backdoor.AndroidOS.Torec.a的一段代码

•Trojan-Banker.AndroidOS.Acecard.a的一段代码

•Trojan-Ransom.AndroidOS.Pletor.a的一段代码
这三个木马的攻击方法,变量名等都十分相似。相应的代码几乎完全一样,差别很细微。

Acecard’s progress

初始版本的木马,Trojan-Banker.AndroidOS.Acecard.a只能处理来自服务端的以下四个指令:

•拦截传入的短信
•取消拦截传入的短信
•给指定号码发送短信
•改换手机的设备控制码

2014年8月,Acecard的第二个版本被检测到了,它使用匿名网络加密技术,和服务器交换信息,就和以前的Pletor相似。
除此之外,新版两个大的方面有不同。首先受支持的指令已经到了15个。几乎所有的指令都可以从早期版本的Trojan Torec中见到。

•拦截传入的短信
•取消拦截传入的短信
•发出USSD请求
•将设备具体地理位置发给服务器
•向拦截短信的名单里添加号码
•清空短信拦截名单
•从短信的拦截列表里删除指定的号码
•开始窃取短信的信息
•取消窃取短信的信息
•向服务器发送木马的ID
•向服务器发送设备上安装的程序清单
•给指定的号码发送信息
•改换设备的控制码
•给特定号码发送含有木马ID的短信
•根据服务器的设定,在设备上弹出特定窗口,比如密码输入框等。

第二个不同之处是钓鱼窗口的数量。不仅仅它覆盖掉谷歌应用商店的窗口,也覆盖伪装以下应用的窗口:

•即时通讯服务类:WhatsApp,Viber,Instagram,Skype

•社交应用:VKontakte, Odnoklassniki and Facebook



•邮件客户端:

•推特客户端:


本帖最后由 root1605 于 2016-3-12 08:02 编辑

The evolution of Acecard
Acecard家族木马演变史

原文地址来自卡巴Securelist

前言

当我们编写2015年Q3威胁演化报告时,我们得知澳大利亚被银行木马攻击的用户是最多的。我们决定查明真相。最终找出罪魁祸首是Trojan-Banker.AndroidOS.Acecard。几乎所有攻击澳大利亚用户的银行木马都是这个家族的成员。

我们认真分析了这个家族木马的所有已知变种。我们十分确定,它们攻击了各种应用程序。攻击目标包括9个官方版本的社交应用,木马设法窃取密码。一些包含包含用户信用卡信息的程序,也被木马锁定为攻击目标。当然最严重的是,木马的攻击列表包含了近50家金融机构的用户客户端程序。Acecard的变种利用它们所掌握的工具来完成攻击。它们窃取银行发给用户的短信,用自己的钓鱼窗口覆盖掉官方应用的窗口来诱骗人上当。

这里告诉大家一个有趣的事,我们确认编写Acecard的网络犯罪分子,和编写Backdoor.AndroidOS.Torec.a(运行在安卓平台)的网络犯罪分子是一伙的。Backdoor.AndroidOS.Torec.a危害很大,可以算作安卓的头号木马,它的知名度不亚于第一个加密安卓移动设备获取赎金的Trojan-Ransom.AndroidOS.Pletor.a。

How it all started

鉴于Acecard的蔓延,和其编写者技术的熟练程度,我们决定深入研究这个木马家族的历史。

这一切都源于Backdoor.AndroidOS.Torec.a。在2014年2月,我们首次检测到了这种木马的第一版,它有这些行为:

•拦截传入的短消息
•停止拦截传入的短消息
•发出USSD请求
•监听传入的短消息
•停止监听传入的短消息
•向服务器发送手机的号码,所在国家/地区,IMEI,手机型号系统版本
•向服务器发送在手机上安装程序的列表
•给指定的号码发送短信
•改换设备的控制编号

接着在2014年4月,又出来一个新版本,有更多的行为:

•向服务器发送设备的具体坐标位置
•向短信拦截列表添加号码
•可以清除短信拦截列表
•从短信拦截列表里移除号码
•向一个制定的特殊号码发送带有木马ID的短信

在2014年5月下旬,我们检测到了第一个加密移动设备的木马,它是Trojan-Ransom.AndroidOS.Pletor.a。它把设备上的文件夹加密,要求受害者付钱来解锁这些文件,否则文件再也不能使用了。Pletor的一些变种使用匿名加密技术来和服务器交换信息。

几个月后,我们检测到了新的变种,Backdoor.AndroidOS.Torec。它和以前的变种不大一样,它不使用匿名加密技术,木马覆盖掉了官方Google应用商店的窗口,弹出自己的钓鱼窗口,并要求输入银行卡信息。

我们把这种新变种重新定义为Trojan-Banker.AndroidOS.Acecard.a ,它被看作是一个单独的木马家族。从那时起,Acecard家族的木马程序就源源不断的被检测到。我们分析比对了Backdoor.AndroidOS.Torec.a, Trojan-Ransom.AndroidOS.Pletor.a 和Trojan-Banker.AndroidOS.Acecard.a 的代码,最后确认是同一个网络犯罪集团所为。下面给大家介绍一个清晰的例子。

•Trojan Backdoor.AndroidOS.Torec.a的一段代码

•Trojan-Banker.AndroidOS.Acecard.a的一段代码

•Trojan-Ransom.AndroidOS.Pletor.a的一段代码

再举另一个例子

•Trojan Backdoor.AndroidOS.Torec.a的一段代码

•Trojan-Banker.AndroidOS.Acecard.a的一段代码

•Trojan-Ransom.AndroidOS.Pletor.a的一段代码

这三个木马的攻击方法,变量名等都十分相似。相应的代码几乎完全一样,差别很细微。

Acecard’s progress

初始版本的木马,Trojan-Banker.AndroidOS.Acecard.a只能处理来自服务端的以下四个指令:

•拦截传入的短信
•取消拦截传入的短信
•给指定号码发送短信
•改换手机的设备控制码

2014年8月,Acecard的第二个版本被检测到了,它使用匿名网络加密技术,和服务器交换信息,就和以前的Pletor相似。
除此之外,新版两个大的方面有不同。首先受支持的指令已经到了15个。几乎所有的指令都可以从早期版本的Trojan Torec中见到。

•拦截传入的短信
•取消拦截传入的短信
•发出USSD请求
•将设备具体地理位置发给服务器
•向拦截短信的名单里添加号码
•清空短信拦截名单
•从短信的拦截列表里删除指定的号码
•开始窃取短信的信息
•取消窃取短信的信息
•向服务器发送木马的ID
•向服务器发送设备上安装的程序清单
•给指定的号码发送信息
•改换设备的控制码
•给特定号码发送含有木马ID的短信
•根据服务器的设定,在设备上弹出特定窗口,比如密码输入框等。

第二个不同之处是钓鱼窗口的数量。不仅仅它覆盖掉谷歌应用商店的窗口,也覆盖伪装以下应用的窗口:

•即时通讯服务类:WhatsApp,Viber,Instagram,Skype

•社交应用:VKontakte, Odnoklassniki and Facebook

•邮件客户端:

•推特客户端:

在2014年10月,我们又一次检测到了Acecard的新变种。它不再使用匿名技术,随后检测到的版本却没有一个是这样的。更重要的是,伴随着木马版本的变化,它的目标国家国家也发生了变化。早期版本几乎只攻击俄罗斯用户,而后来的版本主要攻击澳大利亚,德国,法国的用户,俄罗斯被攻击用户占比仅有10%。这一趋势一直持续了四个月,直到15年2月份。但不管怎样,德国,法国,澳大利亚还是被攻击最多的国家。

同时,Pletor的目标没有什么大的变化。现在主要攻击用户还是来自俄罗斯和美国。攻击数TOP5的用户还包括乌克兰,白俄罗斯,沙特阿拉伯。

新修改过的Acecard在2014年十一月中旬出现。它不但从流行的社交应用里面窃取密码,还覆盖一些澳大利亚银行客户端的窗口而显示自己的钓鱼窗口。仅仅两天之后,我们成功找到了又一个攻击银行程序的木马。


这些钓鱼方法已经应用到了我们最新监测到的Acecard木马中。当这个版本的Acecard启动后,它会检测国家/地区,服务提供商名称。如果发现设备处在俄罗斯,它会自动停止运行。之后几乎Acecard的所有版本都会检测这些信息。而类似的修改在勒索软件Trojan-Ransom.AndroidOS.Pletor中,只在2015年3月下旬的版本里有,并不是所有的新的Pletor都这么做。

接下来的九个月的时间里,新的Acecard变种里再也几乎没有新功能。直到2015年8月,我们检测到了能够覆盖PalPay窗口显示钓鱼窗口的Acecard变种。

这个版本新添加了一个危险的动作------擦除设备信息。如果服务器发出此命令,设备会被恢复出厂状态,文件全部丢失。

自从2015年6月开始,Acecard开发者更加活跃。以前每月我们检测到3-5个这种木马的版本,后来一个月有20多个。

•每月检测到的Acecard版本
上图说明了Acecard相关文件(非重复文件)每月检测到的数量。包括Acecard变种和与之有关的木马,比如TrojanDownloader。数量在2015年11月和12月,尤其是在12月爆发式增长,就是因为木马作者使用了先进的代码混淆器,出现了大量的版本。

也就是在这个时候,由这个木马发起的攻击的数量大幅增加。

•每月被Acecard攻击的用户数量
在9月份上旬,我们检测到Acecard一个新的变种。它可以覆盖掉更多银行的客户端程序的窗口而显示钓鱼窗口,包括澳大利亚一家银行,新西兰四家银行,德国三家银行。


现在Acecard新版本可以用钓鱼窗口覆盖20多个应用程序的窗口,包括13家银行程序。

Acecard的“银行业务”随后发展十分快速。

•新修改版本出现几天后就支持20多家银行程序。新增的目标包括:5家澳大利亚银行,4家香港银行,3家奥地利银行。

•在9月下旬,一个全新的变种出现了。木马收集了银行的电话号码,当用户收到银行的短信时,马上会被重定向给网络犯罪分子。
木马智能识别出短信是关于银行的注册短信还是交易信息,然后给网络犯罪分子提交信息。仅仅是在俄罗斯,它就可以识别并重定向17家银行的短信

•10月上旬,有一个新的变种,居然可以攻击美国三大银行的客户端程序。从一开始,美国被这种木马攻击的用户数就上了TOP10,之后这个数字快速攀升。在12月,美国被这种木马攻击的用户数排名第三位。

•在10月中旬,出现了一个能够覆盖24家银行的客户端程序窗口的变种。这些应用属于5家澳大利亚银行,4家奥地利银行,4家新西兰银行,
3家德国银行,3家新加坡银行,当然PayPal也不能逃脱。

•在11月上旬,检测到一个变种能够伪装1家西班牙银行客户端程序。

几乎所有Acecard木马都可以接受服务器的指令,来用自己的窗口覆盖任何应用的窗口。2015年11月,12月检测到的只覆盖谷歌Play商店和谷歌音乐的窗口,可能是犯罪分子认为这很容易得到钱,因为它们包含一些信用卡信息。
如果服务器不发出指令,它们不会随便去覆盖其他程序的窗口。

最新版的Acecard可以攻击30多家金融机构的客户端程序和支付系统,被攻击的人数会持续的攀升。

虽然木马可以攻击很多很多国家,但主要目的是攻击俄罗斯,澳大利亚,德国,奥地利,法国。

•被攻击用户所在国家

在德国,澳大利亚,Trojan-Banker.AndroidOS.Acecard 家族是最为流行的银行木马。

Propagation

在许多国家,Acecard木马通常伪装成FlashPlayer和PornoVideo来骗取人安装,也有模仿其他应用程序的。有时候他,它们靠木马下载器传播,被叫做Trojan-Downloader.AndroidOS.Acecard。

我们必须注意到,12月28日,谷歌应用商店里出现了一个Acecard下载者。

•在谷歌商店里的Trojan-Downloader.AndroidOS.Acecard.b

该木马看上去是一款好玩的游戏,但它什么用处也没有。主要目的是下载Acecard木马到手机上并安装。开发者甚至不愿意把它做的像点正规程序,安装好之后屏幕上只有一个Adobe Flash Player 图标,根本没有什么游戏。

我们已经检测到Trojan-Downloader.AndroidOS.Acecard.c.的存在。它的技术更为精良,不同于其他木马。它恶意利用系统漏洞获取Root权限,把木马安装在系统文件夹里,一般来说根本清除不掉,一旦有了root权限,它可以隐身的存在,比如将自身加入Zygote(安卓系统所有程序的父进程,存放函数库等,一旦被感染,所有程序都会被感染,病毒难以检测清楚)。当然,这种手段被Trojan-Ransom.AndroidOS.Pletor用的最多。

网络犯罪分子绞尽脑汁来传播Acecard,通过应用商店,借助其他木马等。更有甚者利用root权限,深深损害了用户的利益,也十分危险。Acecard是银行木马中很突出的作品,编写者可谓是专家了。

MD5
58FED8B5B549BE7ECBFBC6C63B84A728
8D260AB2BB36AEAF5B033B80B6BC1E6A
CF872ACDC583FE80B8F54957E14355DF
FBBCCD640CE75BD618A7F3187EC1B742
01E8CEA7DF22B1B3CC560ACB049F8EA0
DDCE6CE143CCA26E59063E7A4BB89019
9D34FC3CFCFFEA760FC1ADD377AA626A
03DA636518CCAF432AB68B269F7E6CC3
05EBAA5C7FFA440455ECB3519F923B56
E3FD483AD3731DD62FBE027B4E6880E6
53888352A4A1E3CB810B2A3F51D0BFC2
E1C794A614D5F6AAC38E2AEB77B139DA
54332ED8EA9AED12400A75496972D7D7
5DB57F89A85F647EBBC5BAFBC29C801E
702770D70C7AAB793FFD6A107FD08DAD
CF25782CAC01837ABACBF31130CA4E75
07DF64C87EA74F388EF86226BC39EADF

非专业翻译,内容仅供参考,转载请注明来自卡饭论坛

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//