信息來源：Freebuf

近期，研究人員分析了一種新的Android銀行木馬，該木馬似乎針對(duì)說西班牙語或葡萄牙語的國(guó)家（即西班牙、葡萄牙、巴西和拉丁美洲等地區(qū)）。該木馬程序基于現(xiàn)有簡(jiǎn)單程序SMSstealer.BR建立，但是添加了更復(fù)雜的功能。這類惡意軟件其中部分被稱為“Banker.BR”。

目前，惡意軟件正通過短信傳播，這些短信將用戶引導(dǎo)到攻擊者控制的惡意域。這些信息通知用戶下載移動(dòng)銀行需要用到的虛假安全應(yīng)用的最新版本。一旦用戶單擊下載，那么就會(huì)從合法文件共享平臺(tái)開始下載。

鑒于這個(gè)虛假應(yīng)用是從第三方來源下載的，因此默認(rèn)情況下不會(huì)在Android設(shè)備上授權(quán)執(zhí)行操作，接下來就給用戶提供指導(dǎo)，如何通過設(shè)備的“設(shè)置”菜單啟用側(cè)面加載。

圖1：新的銀行惡意軟件要求用戶啟用側(cè)面加載

在當(dāng)前狀態(tài)下，這種新型惡意軟件可以通過覆蓋攻擊啟用網(wǎng)絡(luò)釣魚，從而竊取用戶的網(wǎng)絡(luò)銀行憑據(jù)，并接管用戶的銀行帳戶，還可以通過短信發(fā)送的驗(yàn)證碼盜竊兩因素身份驗(yàn)證（2FA）。種種方式都可以幫助攻擊者從受害者的銀行帳戶中完成欺詐性交易。

新型代碼庫

根據(jù)研究人員分析，Banker.BR的代碼是全新的，并且不依賴于先前泄漏的代碼或現(xiàn)有的移動(dòng)惡意軟件。盡管現(xiàn)在已經(jīng)發(fā)現(xiàn)了該木馬的早期版本，該木馬僅具有基本的SMS竊取程序，本文著重介紹了新型的、更加復(fù)雜的“屏幕覆蓋攻擊”惡意軟件功能，這是Android銀行惡意軟件所共有的策略。

在最開始的時(shí)候，這種惡意軟件只能竊取SMS消息，使用該惡意軟件的攻擊者很可能從其他來源（例如網(wǎng)絡(luò)釣魚攻擊和地下憑據(jù)供應(yīng)商）獲得了用戶憑據(jù)。隨著其不斷發(fā)展，它增加了覆蓋攻擊功能，在網(wǎng)絡(luò)釣魚階段就可以感染用戶設(shè)備。

盡管它具有和同類惡意軟件相同的功能，但它沒有實(shí)時(shí)從其C＆C服務(wù)器中提取重疊圖像的功能，因?yàn)檫@要求在設(shè)備自身的資源中調(diào)用嵌入式屏幕，所有它會(huì)比其他使用這類方法的惡意軟件來得遲鈍。

雖然大多數(shù)應(yīng)用都是使用Java / Kotlin編程語言實(shí)現(xiàn)的，而Java / Kotlin編程語言是Android Studio開發(fā)基礎(chǔ)平臺(tái)的一部分，但Banker.BR的編程語言是B4X編程語言。B4X是Visual Basic的現(xiàn)代版本，它是用于創(chuàng)建Android和iOS操作系統(tǒng)的應(yīng)用程序快速集成開發(fā)環(huán)境（IDE）套件的一部分。它通常不用于創(chuàng)建惡意軟件應(yīng)用程序。

缺乏反研究功能

研究人員還注意到尚且還不屬于惡意軟件整體部署的一些特征：

盡管使用利基IDE確實(shí)會(huì)產(chǎn)生開銷代碼，而反向打包更具挑戰(zhàn)性，但不打包或混淆該惡意軟件會(huì)讓反向工程更容易實(shí)現(xiàn)。

與類似的惡意軟件不同，新型木馬在設(shè)備安裝之前，不會(huì)驗(yàn)證它是否已在虛擬環(huán)境中運(yùn)行或是否正在調(diào)試。從這個(gè)意義上講，它缺乏反研究功能，因此更易于分析。

我們找不到任何代理功能或任何調(diào)用操作功能。

建立持久性

使用可傳播的接收器能讓銀行木馬長(zhǎng)期存在。接收器是一個(gè)Android組件，允許應(yīng)用程序獲取有關(guān)系統(tǒng)和應(yīng)用程序事件的通知。在這種情況下，惡意軟件應(yīng)用程序?qū)?huì)得知ACTION_BOOT_COMPLETED系統(tǒng)事件，一旦系統(tǒng)完成新的啟動(dòng)過程，這些事件通知就會(huì)發(fā)送出去。

當(dāng)收到系統(tǒng)通知時(shí)，惡意軟件會(huì)自行運(yùn)行，而無需用戶干預(yù)。

惡意許可授予

Banker.BR往往會(huì)濫用無障礙服務(wù)，不詢問用戶或無需用戶參與就為自身授予所需權(quán)限。從編程手法上來說，要想實(shí)現(xiàn)這個(gè)目的，只要要求用戶允許或者拒絕運(yùn)行權(quán)限即可，比如點(diǎn)擊屏幕上的“允許”按鈕。

該惡意軟件的執(zhí)行速度比人類快，因此不會(huì)給用戶提供任何機(jī)會(huì)做出反應(yīng)或拒絕該惡意軟件接收其要求的權(quán)限。一旦允許初始操作，Banker.BR可以進(jìn)一步為其自身授予其他權(quán)限。

圖2：自動(dòng)批準(zhǔn)權(quán)限

該惡意軟件尋求的權(quán)限包括：

讀取手機(jī)狀態(tài)

攝像頭訪問

閱讀通訊錄

閱讀和接收短信

寫入外部存儲(chǔ)

圖3：Banker.BR權(quán)限列表

泄露設(shè)備信息和SMS內(nèi)容

安裝后，惡意軟件會(huì)收集一些設(shè)備信息，并將其發(fā)送到攻擊者的C＆C，后者是硬編碼到惡意軟件中的域地址。此信息包括以下內(nèi)容：

電話號(hào)碼

國(guó)際移動(dòng)設(shè)備識(shí)別碼（IMEI）

國(guó)際移動(dòng)訂戶身份（IMSI）

SIM序列號(hào)（SSN）

惡意軟件為每個(gè)設(shè)備隨機(jī)分配的唯一Bot ID

該惡意軟件處于活躍狀態(tài)時(shí)，還可以竊取和泄露SMS消息，抓取銀行或其他服務(wù)提供商發(fā)送給用戶的2FA代碼。該惡意軟件注冊(cè)了一個(gè)接收器，可以在運(yùn)行時(shí)處理新接收到的SMS（SMS_RECEIVED），并且不再M(fèi)anifest中顯示，這樣子用戶就看不到了。

圖4：Banker.BR SMS控件

“守株待兔”

Banker.BR在設(shè)備后臺(tái)“按兵不動(dòng)”，監(jiān)視用戶打開的應(yīng)用程序“守株待兔”，等待目標(biāo)應(yīng)用程序的啟動(dòng)。

設(shè)備上的輔助功能服務(wù)是Android惡意軟件應(yīng)用程序監(jiān)視前臺(tái)運(yùn)行APP的常見手段。惡意軟件等待匹配，在合適的時(shí)間和情境下啟動(dòng)覆蓋屏幕來欺騙用戶，并將他們的憑證放到疊加層中。

圖5：惡意軟件正在等待有針對(duì)性的應(yīng)用程序啟動(dòng)

通過監(jiān)聽onaccessibilityevent和事件類型TYPE_WINDOW_STATE_CHANGED可以實(shí)現(xiàn)，這將意味著用戶界面會(huì)發(fā)生變化。

接下來，惡意軟件調(diào)用_acs_onactivitynameretrieved函數(shù)，該函數(shù)將驗(yàn)證活動(dòng)名稱是否與其目標(biāo)匹配。如果檢測(cè)到匹配項(xiàng)，則該惡意軟件將在相應(yīng)的覆蓋屏幕上調(diào)用與該銀行應(yīng)用程序相匹配的界面。

圖6：銀行名稱模糊的針對(duì)Banker.BR的應(yīng)用程序

覆蓋屏幕通常會(huì)顯示銀行的徽標(biāo)，并要求用戶提供登錄憑據(jù)。

與此類中的其他惡意軟件不同，覆蓋屏幕被嵌入到惡意軟件中，而不是從攻擊者的C＆C服務(wù)器中實(shí)時(shí)獲取的。這是一種不太靈活的方法，不允許對(duì)假屏幕進(jìn)行即時(shí)更新，而需要進(jìn)行惡意軟件更新才能交付更改。它還會(huì)將所有可用屏幕暴露給分析惡意軟件的外部人員。

圖7：示例疊加屏幕，要求用戶輸入其帳戶登錄憑據(jù)

攻擊對(duì)象

目前，研究人員觀察到這種新型惡意軟件主要針對(duì)巴西的銀行。在某些情況下，攻擊目標(biāo)也擴(kuò)大到世界其他地區(qū)，即西班牙、葡萄牙和整個(gè)拉丁美洲，這或許可以表明攻擊者的所處位置或來源。

通過更改目標(biāo)列表和嵌入式屏幕，從而修改其攻擊范圍和潛在目標(biāo)，可以非常輕松地將這種類型的惡意軟件重定向到其他區(qū)域。它可以定位到銀行，但也可以定位到設(shè)備上任何其他應(yīng)用程序的用戶憑據(jù)，或以Google Play商店請(qǐng)求為幌子竊取支付卡數(shù)據(jù)。

研究人員指出，Banker.BR正在不斷發(fā)展，將為新的目標(biāo)銀行添加新屏幕樣式，并在未來幾個(gè)月內(nèi)有望增強(qiáng)代碼。

危害指標(biāo)（IoC）

早期版本的SHA-256-僅SMS竊聽器

39a197185f7fa277108c2f240dda7ebbe174f8740ba78d8f88f1eb448b60159e

fae34dd516a00dc0c2c2cc8e5a026648f3a60db66cc3c480ff605daf04e25d1c

165394fecd7dcfa01a3c5d60489fe51c87aa7743f3775cd9c075988142fa0dd6

710ef119c573857e4607da5a36ddb9846db43b2ba44b257ebaf98d21ef40f7f6

0f1077ea1b0b39f7cbd3f00edac251c2f10cae578e37818184cc00b3853d1b49

b55bb0515d55c85afdc0da5afdf9dd9ff57b4b7c6ddfdda41d761d5d256118e7

cbc72184561f3b98c80a3901c6bcbcd648266fcb5724329db2a01569c0e46057

48a4210c09dd8539d386d80139fd38170cad06b0bbe47ee413b185f1410fe41f

58bd88693864b0375032d3507fe359e79d1ee179e51c5a7d1b2b8e17c8102a17

120f82c45c694fa7c22f1f2ed6ab0b08b8471d8f6d427af3282972a1a51744bd

SHA-256更高版本—完整的覆蓋惡意軟件

1e230466d1a01b1ff39494391d2d8abbd4cd0762cbfedc9576cfe576bc4cc347

634059e38477771fd8409ef2188a211a2f0d9a730fe1e50c0010c5785a2b2e3e

74a757389b24bcc100cc0407f1363301e63e54e93f53c5a52106db15fbd10316

001230e571bd73dfdc04d1f32f6b3e21cebb9eafea262edf1741c006c0fd5c61

9b18b0941932f68edfad08235226412a762965b651373ff3744514577bef2767

918a523725821000e0b882769a22d5c0f6d37cca1f5d437840e7372252a6b75e

95c25547034a532f8cada4220213e190d479d12d481ece3b160ee086cb9d26f1

d333fda60b5f62c61be6214e64fe79ee78c66bdd1f995736aeeb33cddc7494ea

C7e3cc7e5fc9a82f02939769b986f5c9ae3ed1b3a88fa24c2c26c7b1d042fb60