Google Play 商店上发现了 BankBot 银行木马变体，其目标列表中新加入十个阿联酋银行应用

安卓BankBot银行木马（所有的变体由Trend Micro首先发现并命名为ANDROIDOS_BANKBOT）今年1月首次出现，变体的开源代码被泄漏于某地下黑客论坛。BankBot非常危险，因为它将自己伪装成合法的银行APP，通常通过在屏幕上覆盖一层以模仿已有的银行APP，并盗取用户密码。BankBot也可以劫持并拦截SMS消息，这意味着它可以绕过基于SMS的双重认证。

这一年里，BankBot一直作为一种良好的程序进行发布，这使得他们得以进行流行的应用商店。在2017年4月以及7月，被BankBot感染的APP在Google Play中被发现以娱乐和在线银行APP的形式出现。在这两个月中发现了20个以上的BankBot木马。

最近我们发现5个新的BankBot APP，其中4个伪装成通用APP混进了Google Play商店。其中两个马上被移除了，而另两个待了足够长时间才被移除，长到足够少量用户下载它们。其中一个特殊的BankBot APP被下载了5000-10000次。

这个新的BankBot变体针对27个不同国家的合法银行APP。当然，针对的APP的总数从150上升到160。10个阿联酋银行APP新加入到列表上。

BankBot的最新版本只会在设备满足下列三个条件时生效：

运行环境是真实的设备
设备位置不在独立国家联合体上
目标银行APP被安装在设备上

新BankBot的细节及分析

当BankBot被安装并运行时，它会检查设备上的APP包信息。如果有某个目标银行APP，BankBot会试图连接到它的C&C服务器并上传目标的包名和标签。C&C服务器将发送一个URL给BankBot，这样它就能下载用于覆盖web页面的库文件。这个页面会显示在合法的银行APP的上面，并用于盗取用户的信息。

在BankBot从URL中下载了库文件后，它会将它解压到APK目录下（/data/data/packagename/files）.下列代码展示了BankBot的给银行APP的发送列表。

{
“mod”: “Motorola Nexus 6”,
“vers”: “5.1.1”,
“app”: “sky_flash”,
“fire”: “cODqrG8XK04:APA91bGYbM7U2KI2f_f9zI0OL6Lc5a-vkNhNot9uEptDfhNCHbp05ONceCeV-HPk2F1tZA0zZ-S3YbptAq6V4Nnfl1GXe7g19ofWK-Wi9lD0N3qZf7nBJEptQOVs33WO8i3eCpOSrVbR”,
“dr”: “4506126840cc9bf9”,
“loc”: “US”,
“app5”: {
“%Android application Package Name1%”: “%targeted bank1%”,
“%Android application Package Name2%”: “%targeted bank2%”,
“%Android application Package Name3%”: “%targeted bank3%”
}

图1. C&C 回应的库文件URL
C&C服务器会使用"success"消息在一个小时后进行确认。这种延迟可能是用于规避反病毒软件检测的一种策略，也有可能仅仅是用于生成为设备令牌准备的假web页面。

当服务器准备好后，或者说它完成了web页面的准备后，它会发送另一个URL给BankBot以获取假web页面的数据。

图2. BankBot下载的覆盖页面
在web页面被下载后，BankBot控制设备，在目标银行应用程序运行时，将这个页面显示在银行APP页面的屏幕上。这个页面会使受害者认为他们正在使用他们日常使用的银行APP，欺骗他们在BankBot的假页面上输入他们的密码。

BankBot对阿联酋表现出特殊的行为

当面对阿联酋银行APP，BankBot的新变体就会有额外的步骤。并不是直接显示虚拟的页面，而是提示用户输入他们的手机号。然后C&C服务器就会通过Firebase消息发送一个pin码给受害者。在输入了pin码后，受害者会被要求输入银行细节信息。接下来，BankBot将会显示一个"错误页面"（尽管信息是正确的）并再次要求输入细节。

图3. 虚假的阿联酋航空公司银行APP的屏幕
下列细节描述上面图片中的每一步：

提示验证
输入手机号
输入C&C服务器的pin码
输入账号密码
错误信息
再次输入账号细节
惯例操作
很显然，BankBot的开发者想要验证受害者的银行细节信息。他们请求了两次信息，以防用户第一次没有输入正确。BankBot只会在账号信息输入两次之后，才会把盗取的数据发送给C&C服务器。

图4. 谷歌应用商店上的BankBot APP

BankBot似乎想要扩大的覆盖范围，并试验他们的新技术，这一问题值得受到关注，因为银行APP正在变得无处不在。根据最近的研究，在中东和非洲的移动银行用户在2017年之前已经超过了8千万，另一份来自于ArabNet的报告指出，阿联酋的用户在中东和北非地区有着非常高的移动银行APP使用率。随着越来越多的人采用了这一技术，这些APP会吸引更多的网络罪犯。

为了和这一威胁作斗争，用户应该进行适当的移动安全和网络账户的练习。任何持有银行账号的设备都应该受到有效的保护，且应拥有多重安全保护。用户可以使用综合的反病毒软件增强他们的防御，比如 Trend Micro Mobile Security for Android（可以在Google Play上下载到），这些APP可以在木马或病毒被安装并造成威胁之前，将这些威胁阻拦在APP商店之外。Trend Micro的 Mobile App Reputation Service (MARS)已经在安卓平台和IOS平台都上线了，它使用沙盒和机器学习技术来防御这些威胁。它能使用户防御恶意软件，0day漏洞和已知的各种漏洞，隐私泄漏和应用漏洞。