伪造银行APP将目标指向印度

  • A+
所属分类:安全资讯
摘要

稿件为翻译稿,翻译自https://news.sophos.com/en-us/2018/10/21/fake-android-banking-apps-target-victims-in-india/具有欺骗性质的恶意软件可能窃取了数千名印度银行客户的帐户数据或信用卡号码。继最近在Goo…

稿件为翻译稿,翻译自https://news.sophos.com/en-us/2018/10/21/fake-android-banking-apps-target-victims-in-india/
具有欺骗性质的恶意软件可能窃取了数千名印度银行客户的帐户数据或信用卡号码。

308ba56d2e05f1b0465a69f0ce9d6ea9

继最近在Google Play上发现了虚假银行应用程序之后,SophosLabs在官方Android应用程序市场上又发现了更多的木马应用程序。

这些恶意软件应用程序的目标位置更具有针对性,主要包括位于印度的受害者。 我们最近发现了12个恶意应用程序,这些应用程序收集用户的网上银行凭证和信用卡的详细信息。
一些应用已经发布了两年之久并且被数千人安装。这次攻击事件也在那个时间发生了变化,在最初的时间段,其只针对印度的3家大型银行-Canara Bank,Syndicate Bank和Axis Bank。之后又将几个更有针对性的银行和金融机构纳入攻击目标之一。

其中一些应用伪装成互联网银行程序或电子钱包,并且在名称与图形设计规范中有所注意。有一些应用生成可以提供一种独特的奇怪服务,比如它们可以从用户的账户中提取资金并将其兑换成零钱钞票送到用户家门口。但是它也许确实向某些人提供了这些服务,但是有可能这些收钱的人并不是当时发起申请的用户。

伪造银行APP将???标指向印度

自2016年5月起,负责这些应用程序的恶意软件作者已发布了至少12个不同的应用程序。这些开发人员所开发的所有应用程序均共享一个类似的用户界面、相似的代码库,除此之外,这些程序均将泄露的信息发送同一个命令到控制服务器中。

除了使用不同的程序名称发布之外,这些应用程序在各个方面与其他应用程序完全相同。这使得创建者可以多次将其上传到Google Play。

银行App恶意软件Modus Operandi

其中许多应用程序通过承诺奖励,例如现金返还,免费提供移动数据或无息贷款,诱使受害者下载并使用它们。 然而上述的奖励并没有用户收到。

由这名工作人员操作的最骗局和难以置信的任何人都会陷入这种骗局,

他们声称应用程序为其VIP客户提供了一种称为“e-ATM”服务的优惠,而这名工作人员的这些操作使许多人都会陷入骗局。

它并没有欺骗,这个应用程序承诺会使用您提供的凭据将服务送到ATM处,并从您的帐户中提取资金并将其交付给您。

伪造银行APP将目标指向印度

其中一些应用程序使用了印度演员Amitabh Bachchan的照片,或印度金融改革者总理纳伦德拉莫迪的照片。 巴克强是一个十分有名的人,莫迪对印度的金融体系产生了非常重要的公共影响,他的影响力波及到了印度的许多人。作为一种名人虚假代言,两者都会引起公众的注意。除此之外,该应用程序还利用名称识别技术吸引用户。

所有应用程序都要求用户提供网上银行凭证或信用卡的详细信息。其表面上是为了提供服务,例如查看用户的当前余额,进行银行转帐或接收交易通知。

此恶意事件相关的最新应用程序是被称为Modi的全印度数字ATM。当用户使用信用卡或其网上银行凭证注册帐户时,它承诺提供现金返还和其他奖励。

该应用程序与印度的7家银行相关:

  • 印度银行

  • ICICI银行

  • 印度海外银行

  • Axis 银行

  • 巴罗达银行

  • Yes银行

  • 花旗银行

除了上述银行(具有具体针对性),该应用程序还具有通用界面,可用于印度其他25家银行。 运行时,应用程序会提示用户使用姓名和电话号码进行注册。 然后要求用户使用以下四种方法之一链接银行帐户:

  • ATM卡和PIN码

  • 网上银行(用户名与密码)

  • 信用卡

  • Aadhar卡(居民身份证)

伪造银行APP将目标指向印度

然后,应用程序向用户显示下一步操作,该活动根据用户选择的选项来提示信用卡详细信息或Internet银行凭证。 该应用程序还将自己设置为接收短信的默认应用程序,以拦截基于SMS的一次性密码攻击(OTP),而这些密码通常用于进行双因素身份验证。

应用程序在不验证任何详细信息的正确性前提下将收集的信息发送到其服务器。

而且所有广告中的功能(例如查看帐户余额或银行转帐)均无法实现。

伪造银行APP将目标指向印度

传播内容

你认为犯罪分子可能希望保护他们的不义之财。 然而并不是这样。

他们可能采使用SSL将被盗数据传??总部。 但是他们并没有使用这种方法。 这些应用程序通过HTTP传输他们偷来的银行凭证,这也使他们在传输过程中容易被窃听。

更有能力的犯罪分子保护数据的另一种方式是将其安全地存放在c2上,而这个C2应该在一个隐蔽并很难被访问到的地方。但是无论发起事件的人是谁,他们都没有这么做。服务器仅将被盗凭证附加到纯文本文件中,如该屏幕截图中显示的通信那样,该文本文件可由任何人下载,而无需任何类型的认证,加密或保护。

伪造银行APP将目标指向印度

后记:App所带来的事实

SophosLabs在2018年7月向Google通报了上述描述的应用程序。Google从Google Play中移除了这些应用程序。 这些恶意应用程序被Sophos Mobile Security检测为Andr / FakeBank-L类型。

最近发现的这些Android银行恶意软件呈现出令人担忧的趋势。 这种恶意软件不断被发现并且持续进入Google Play的下载页面,而Google Play仍然是当今Android应用程序最常见的来源之一。全球数百万用户受到漏洞的威胁,这一事实凸显了这一恶意软件的威力。

为避免成为此类恶意应用程序的牺牲品,Android用户应验证发布应用程序的开发人员。 在安装此类应用程序之前,用户应密切关注用户评级并阅读用户评论,即使从受信任的应用程序市场下载应用程序也是如此。 持续不断的威胁正在推动移动AV的采用,如Sophos Mobile Security。

IOC

SHA1                                                                                                                     Package Name                                                  Downloads
59464e675e164346538bb68e6d6825c9f5214478               appinventor.ai_mohatirbin.ATMbanking              
bc76ba9bfb2dba96b8463bc73f6db3f990d28a1e                 appinventor.ai_mohatirbin.CanaraBank
11778c30043ecf5717e8e60e4714debef92e9143                 appinventor.ai_mohatirbin.SyndicateBank          
e81469f57d64b2560a0969ac9942c8e378452064                appinventor.ai_ybvijayakumar.iAXIS      
db47704b3368b01400b278889b90db159ceab11d              com.mobtech.mrupi                                                      10-50
2f603cc3b3efbbae4ca6b6bb3b0b9fa5a8e2f66d                  com.mobtech.multib                                                     1k-5k
f5744c2a47060bf21e4e3223d3e1e6bb36c0f7f5                   com.mudrabank.bhimdigital                                       5k-10k
f4dcf6b60540f449de0c63731bec62daf7b9bf4e                    com.mudrabank.bingoo                                                10-50
a701cc3aabad28b3378d02e17d259ee06b8d52bd               com.mudrabank.digibank                                            10k-50k
2aea7ea08461026e5acb8665f3aac51f4fc3a0ac                    com.mudrabank.digibankv1                                        50k-100k
d4f3c74f57076fe5ce2cd9e333045c8745ecfe32                    com.mudrabank.digibankv2                                        1k-5k
1023b636e9935a5c6979925fb347aa708f5698a0                 com.mudrabank.eATM                                                 500+

本文来源于先知社区,原文地址:https://xz.aliyun.com/t/2954

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: