了解新型銀行類惡意軟體——FakeSpy

偽裝成各種合法的應用，然後再通過Google Play或其他App Store將自己傳播出去，是目前許多高級攻擊經常採用的手段。之所以這種方法屢試不爽，就是因為受害者往往認為所有出現在Google Play或其他App Store上的應用，都是經過安全檢查且值得信賴的。黑客就是利用這個心理，偽裝成合法的遊戲、視頻等程序，來竊取信息或傳播惡意有效載荷。

其中比較常見的有CPUMINER（挖礦軟體），BankBot（銀行持木馬）和MilkyDoor（Milkydoor是2017年黑客開發的一款複雜程度較高的惡意軟體，能將任何受感染的Android手機變成黑客工具）。不過最近，趨勢科技的研究人員發現，有一個惡意軟體不但把自己偽裝成合法的應用，而且還應用了SmiShing技術，將潛在受害者重定向到惡意網頁。

目前，趨勢科技的研究人員已經將該惡意軟體命名為FakeSpy（趨勢科技的分析樣本為ANDROIDOS_FAKESPY.HRX），FakeSpy就是通過簡訊來發起所有攻擊的。

FakeSpy能夠竊取受害者的簡訊，以及那些存儲在受感染設備中的賬戶信息，聯繫人和通話記錄。 另外，FakeSpy也可以作為銀行類惡意軟體（ANDROIDOS_LOADGFISH.HRX），竊取用戶的登錄憑證。雖然目前這種惡意軟體僅限於感染日語和韓語地區的用戶，但鑒於FakeSpy開發者的積極迭代和開發技術，我相信FakeSpy的攻擊範圍擴大化只是時間的問題。

FakeSpy的攻擊過程

如下圖所示，對於潛在的日語受害者來說，他們首先會收到一封偽裝成日本物流運輸公司的移動簡訊通知，敦促收件人點擊簡訊中的鏈接進行信息確認。如果用戶誤點擊，則該鏈接就會將受害者重定向到惡意網頁，此時，不管用戶點擊什麼內容，網頁上都會出現提示用戶下載Android應用程序包（APK）的信息。該網頁還有一個用日語編寫的下載指南，介紹如何下載和安裝該應用程序。

包含惡意軟體鏈接的釣魚簡訊

研究人員通過進一步分析表明，該攻擊也同時針對韓語用戶，且自2017年10月起就一直在活躍。對於韓國用戶來說，FakeSpy會偽裝成多家當地消費金融服務公司的應用程序，來盜取用戶信息。而到了日本用戶這裡，它將偽裝成交通、物流、快遞和電子商務公司、移動通信服務和服裝零售商的應用程序。

帶有下載和安裝應用程序說明的惡意網頁

韓語（左）和日語（中、右）惡意應用程序的屏幕截圖

攻擊技術分析

FakeSpy的一些關鍵配置，比如命令和控制(C&C)伺服器等，都會被加密以逃避檢測。一旦啟動，FakeSpy就將開始監控受影響設備收到的各種簡訊。這些簡訊被FakeSpy盜取後，會被上傳到C＆C伺服器。為了通過JavaScript發送命令，FakeSpy還會濫用JavaScript橋接（JavaScriptInterface），通過從遠程網站下載並運行JavaScript來調用應用程序的內部函數。FakeSpy的命令包括向被攻擊的設備添加聯繫人、將操作聲音調為靜音、重置設備、竊取存儲的簡訊、設備信息、更新自身的配置。

FakeSpy的加密配置

FakeSpy如何將被盜文本消息上傳到C＆C伺服器

FakeSpy如何向C&C伺服器傳送盜竊來的簡訊內容

攻擊者發送的更新FakeSpy配置的命令

FakeSpy是如何成為銀行類惡意軟體的？

除了盜取受害者的信息之外，FakeSpy還可以對手機上安裝的相關銀行類應用程序進行檢查。如果檢查到的程序中有FakeSpy攻擊者感興趣的銀行類應用，那麼攻擊者就會提示用戶，對這些銀行應用進行升級或重新安裝，以便趁機將自己的惡意載荷植入其中，這樣受害者的用戶界面其實就是一個釣魚頁面。當用戶點擊釣魚頁面時，攻擊者就會要求用戶輸入登錄憑證，一旦確認登錄完成，則憑證信息也會被發送到C＆C伺服器。而如果銀用戶沒有及時輸入憑證，則攻擊者就會提示用戶，他們的賬戶將會很快被鎖定。除了網上銀行應用外，FakeSpy還會檢查各種數字貨幣交易程序和電子商務程序。

FakeSpy檢查合法的與銀行業務相關的應用程序並用假版本替換它們的代碼

惡意應用的UI，攻擊者利用此頁面開始竊取登錄憑證

惡意應用程序如何竊取銀行憑證的代碼片段

逃避檢測的過程

FakeSpy的開發者使用了不同的方法來隱藏和更新C＆C伺服器，比如通過利用社交媒體，將IP地址寫入他們定期修改的Twitter配置文件中。通過調查，研究人員發現，這個IP地址是以^^開頭並以$$結尾的。當FakeSpy啟動時，它將訪問Twitter頁面並解析其中的內容以檢索C＆CIP地址。 FakeSpy的開發者也以類似的方式，利用了各種論壇和開源動態域名工具。不過，這還不夠，為了能進一步規避檢測，配置到應用程序中的C＆C伺服器地址每天至少被更新一次。同樣值得注意的是，利用FakeSpy發起攻擊的案例已經非常的多了，這可以從他們在論壇上的攻擊活動數量以及利用他們註冊的相關URL來託管相應的惡意軟體中看出。

FakeSpy利用訪問的Twitter頁面獲取C&C IP地址

FakeSpy利用的論壇（頂部）和動態域名工具（底部）來隱藏C＆C伺服器

緩解措施

雖然SMiShing不是什麼新型的攻擊方式，但是通過社交工程，來引誘或迫使受害者泄漏個人或公司數據，或將他們重定向至惡意軟體託管網站，總是防不勝防的。所以用戶應該在點擊任何信息和鏈接之前，都應進行思考。另外，即使從官方應用商店下載的應用，也要定期更新，對設備的操作系統也要及時升級。這麼做都是為了檢查網路釣魚的蛛絲馬跡，例如語法錯誤或用於欺騙合法URL的特定字元，更重要的是，要警惕那些陌生的且要求你作出某種及時操作（例如點擊其中的鏈接）的消息。詳細的IoCs，請點此。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！