Riltok手机银行木马剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Riltok手机银行木马剖析

申博_新闻事件 申博 97次浏览 未收录 0个评论

Riltok是一款运用规范功用和流传要领的手机银行木马。为了进击欧洲用户,银行木马做了一些小的修正来顺应欧洲市场(用户)。受害者中有90%位于俄罗斯,4%位于法国,另有意大利、乌克兰和英国等。

Riltok手机银行木马剖析

Riltok银行木马的环球散布

研究人员最早是在2018年3月检测到Riltok银行木马家属的。与其他银行木马相似,该银行木马假装成俄罗斯的免费告白效劳app。歹意软件是经由过程SMS在受沾染的装备上流传的,流传的情势为“%USERNAME%, I’ll buy under a secure transaction. youlabuy[.]ru/7*****3”或“%USERNAME%, accept 25,000 on Youla youla-protect[.]ru/4*****7”,个中含有一个下载木马的链接。其他一些样本假装成找票效劳客户端或安卓的APP store。

2018岁尾,Riltok最先走向国际舞台。歹意软件背地的进击者运用了雷同的假装要领和流传要领,运用模仿免费告白效劳的名字和图标。

Riltok手机银行木马剖析

Riltok最经常使用的图标: Avito, Youla, Gumtree, Leboncoin, Subito

2018年11月,Riltok的一款面向英文市场的版本涌现了——Gumtree.apk。SMS音讯中含有一个到银行木马的链接:%USERNAME%, i send you prepayment gumtree[.]cc/3*****1。

意大利语版本 (Subito.apk)和法语版(Leboncoin.apk)也在2019年1月涌现了市场上。运用的音讯以下:

“%USERNAME%, ti ho inviato il soldi sul subito subito-a[.]pw/6*****5” (It.)
“% USERNAME%, ti ho inviato il pagamento subitop[.]pw/4*****7” (It.)
“%USERNAME%, je vous ai envoyé un prepaiement m-leboncoin[.]top/7*****3” (Fr.)
“%USERNAME%, j’ai fait l’avance (suivi d’un lien): leboncoin-le[.]com/8*****9” (Fr.)

下面引见下木马的事情流程。

沾染

用户会吸收到含有歹意链接的SMS,歹意链接指向的是模仿主流免费告白效劳的捏造网站。用户会被提醒下载一个新版本的手机app,个中就隐蔽着木马。为了装置胜利,须要受害者在装备设置中许可从未知泉源装置APP。

在装置过程当中,Riltok会展现一个捏造的正告来要求用户授与运用AccessibilityService中一些特别特性的权限:

Riltok手机银行木马剖析

若是用户疏忽或拒绝了该要求,该窗口就会一向翻开。在猎取了希冀的权限后,木马就会将本身设置为默许的SMS app(经由过程AccessibilityService接见本身点击YES)。

Riltok手机银行木马剖析 

启用AccessibilityService后,歹意软件将本身设置为默许的SMS app

在装置和从用户处猎取须要的权限后,Riltok会与C2效劳器举行联络。

在以后的版本中,歹意软件启动后,会在浏览器中翻开一个模仿免费告白效劳的垂纶网站来诱运用户输入上岸凭据和银行卡信息。输入的数据会被转发给犯罪分子。

Riltok手机银行木马剖析

法语版本木马的垂纶页面

与C2效劳器通讯

Riltok会主动与C2效劳器举行通讯。起首,经由过程发送GET要求到相干的地点 gate.php (以后版本中是gating.php)来在治理面板上注册受滋扰的装备,发送的信息还包罗ID和screen参数,个中ID是依据装备IMEI号用setPsuedoID函数天生的,screen参数是肯定装备是不是运动,能够的值有“on”, “off”, “none”。

Riltok手机银行木马剖析

然后运用到相干地点report.php的POST要求,发送关于装备的数据(IMEI、电话号码、国度、手机运营商、手机型号、root权限、操作系统版本)、通讯录、装置的APP列表、SMS和其他信息。木马会从效劳器吸收名来修正设置装备摆设。

木马

木马的名字Riltok是依据木马APK文件中包罗的librealtalk-jni.so库定名的。该库的作用包罗以下:

永信至诚的平行仿真术,大潘:穿过这场“连环梦”

作者高宁,网络安全科普记者。“嘶吼RoarTalk”频道希望为小伙伴们打造一个极客社区交流平台,我们的任务是,将我们看到的行业故事尽量直白地讲述给大家。 当然,如果你有故事,或者有想要听到的故事,欢迎加我微信“gn9343”。 写在前面: “计算机攻防战”进入了第三阶段。 1988年,计算机的软盘时代。时年,国产第二代微机长城386刚刚问世,没有网络的注入,赛博空间还被困在半尺见方的软盘里,计算机的基本功能还是计算与存储。 同年,第一代计算机病毒“小球”恶作剧式的出现在赛博空间,初次与病毒交锋,研究人员只能通过简单的编译程序与病毒展开肉搏。 越过漫漫历史长河如今再看,也是这一场堪称“大刀长矛”与“跳

· 猎取C2效劳器地点;

· 经由过程C2猎取web inject的设置装备摆设文件,以及inject的默许列表

· 扫描app package名看是不是有已知的银行、病毒和其他经常使用app列表中天生的AccessibilityEvent事宜

· 将歹意软件设置为默许SMS app

· 在app运行时猎取翻开的垂纶页面的地点。

Riltok手机银行木马剖析

getStartWebUrl 函数——猎取垂纶页面地点

设置装备摆设文件中含有要注入的手机银行APP的列表,以及用户用来与手机银行app婚配的垂纶页面。木马的西方国度版本中,默许设置装备摆设文件中的package名被擦除。

Riltok手机银行木马剖析

木马设置装备摆设文件样本

经由过程AccessibilityService,歹意软件能够监控AccessibilityEvent事宜。依据天生事宜的app,Riltok能够:

· 翻开一个捏造的Google play屏要求银行卡细节;

· 在浏览器中翻开一个捏造的屏或页面来模仿相干银行木马app的屏幕,并要求用户或银行卡信息;

· 最小化app,好比将反病毒运用或装备平安设置最小化。

· 别的,木马还能够隐蔽来自特定银行APP的关照。

Riltok手机银行木马剖析

木马翻开捏造的Google play窗口的事宜app package名列表

Riltok手机银行木马剖析

木马屏幕掩盖其他app示例

受害者在捏造的窗口输入银行卡信息后,Riltok会举行基础的有效性搜检:好比卡的有效期、数字校验、CVC长度,以及卡号是不是在木马代码中的黑名单中:

Riltok手机银行木马剖析

Riltok手机银行木马剖析

模仿手机银行的垂纶页面示例

停止现在,大多数西方言语版本的Riltok的功用要比俄语版少。好比,默许设置装备摆设文件中的injects临时还不克不及功用,歹意软件不含有内置的要求银行卡信息的捏造的要求。

结论

研究人员发起用户不要点击SMS信息中的歹意链接,而且从可信源来装置app,在app装置时要搜检授与的权限。从Riltok的例子中能够看出,犯罪分子能够运用多种分歧的要领来沾染分歧国度的用户。

原文地点: https://www.4hou.com/mobile/18821.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Riltok手机银行木马剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址