安卓BankBot银行木马（所有的变体由Trend Micro首先发现并命名为ANDROIDOS_BANKBOT）今年1月首次出现，变体的开源代码被泄漏于某地下黑客论坛。BankBot非常危险，因为它将自己伪装成合法的银行APP，通常通过在屏幕上覆盖一层以模仿已有的银行APP，并盗取用户密码。BankBot也可以劫持并拦截SMS消息，这意味着它可以绕过基于SMS的双重认证。

这一年里，BankBot一直作为一种良好的程序进行发布，这使得他们得以进行流行的应用商店。在2017年4月以及7月，被BankBot感染的APP在Google Play中被发现以娱乐和在线银行APP的形式出现。在这两个月中发现了20个以上的BankBot木马。

最近我们发现5个新的BankBot APP，其中4个伪装成通用APP混进了Google Play商店。其中两个马上被移除了，而另两个待了足够长时间才被移除，长到足够少量用户下载它们。其中一个特殊的BankBot APP被下载了5000-10000次。

这个新的BankBot变体针对27个不同国家的合法银行APP。当然，针对的APP的总数从150上升到160。10个阿联酋银行APP新加入到列表上。

BankBot的最新版本只会在设备满足下列三个条件时生效：

当BankBot被安装并运行时，它会检查设备上的APP包信息。如果有某个目标银行APP，BankBot会试图连接到它的C&C服务器并上传目标的包名和标签。C&C服务器将发送一个URL给BankBot，这样它就能下载用于覆盖web页面的库文件。这个页面会显示在合法的银行APP的上面，并用于盗取用户的信息。

在BankBot从URL中下载了库文件后，它会将它解压到APK目录下（/data/data/packagename/files）.下列代码展示了BankBot的给银行APP的发送列表。

图1. C&C 回应的库文件URL
C&C服务器会使用"success"消息在一个小时后进行确认。这种延迟可能是用于规避反病毒软件检测的一种策略，也有可能仅仅是用于生成为设备令牌准备的假web页面。

当服务器准备好后，或者说它完成了web页面的准备后，它会发送另一个URL给BankBot以获取假web页面的数据。

图2. BankBot下载的覆盖页面
在web页面被下载后，BankBot控制设备，在目标银行应用程序运行时，将这个页面显示在银行APP页面的屏幕上。这个页面会使受害者认为他们正在使用他们日常使用的银行APP，欺骗他们在BankBot的假页面上输入他们的密码。

当面对阿联酋银行APP，BankBot的新变体就会有额外的步骤。并不是直接显示虚拟的页面，而是提示用户输入他们的手机号。然后C&C服务器就会通过Firebase消息发送一个pin码给受害者。在输入了pin码后，受害者会被要求输入银行细节信息。接下来，BankBot将会显示一个"错误页面"（尽管信息是正确的）并再次要求输入细节。


图3. 虚假的阿联酋航空公司银行APP的屏幕
下列细节描述上面图片中的每一步：

BankBot似乎想要扩大的覆盖范围，并试验他们的新技术，这一问题值得受到关注，因为银行APP正在变得无处不在。根据最近的研究，在中东和非洲的移动银行用户在2017年之前已经超过了8千万，另一份来自于ArabNet的报告指出，阿联酋的用户在中东和北非地区有着非常高的移动银行APP使用率。随着越来越多的人采用了这一技术，这些APP会吸引更多的网络罪犯。

为了和这一威胁作斗争，用户应该进行适当的移动安全和网络账户的练习。任何持有银行账号的设备都应该受到有效的保护，且应拥有多重安全保护。用户可以使用综合的反病毒软件增强他们的防御，比如 Trend Micro Mobile Security for Android（可以在Google Play上下载到），这些APP可以在木马或病毒被安装并造成威胁之前，将这些威胁阻拦在APP商店之外。Trend Micro的 Mobile App Reputation Service (MARS)已经在安卓平台和IOS平台都上线了，它使用沙盒和机器学习技术来防御这些威胁。它能使用户防御恶意软件，0day漏洞和已知的各种漏洞，隐私泄漏和应用漏洞。

拥有下列hash值的文件与这些威胁相关：

原文链接:http://blog.trendmicro.com/trendlabs-security-intelligence/bankbot-found-google-play-targets-ten-new-uae-banking-apps/
本文由 看雪翻译小组 梦野间 编译

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！