背景

近期，一批偽裝成flashlight、vides和game的應用，發布在google play官方應用商店。經錢盾反詐實驗室研究發現，該批惡意應用屬於新型BankBot。Bankbot家族算得上是銀行劫持類病毒鼻祖，在今年年初曾爆發，之前主要針對歐洲國家，可劫持50多家銀行應用，而新發酵的BankBot已將攻擊目標擴散到全球，可劫持銀行增加到145家。

那麽新型BankBot是怎麽再次入侵用戶手機？

能上架應用商店和入侵用戶手機，BankBot使用了AVPass技術，包括針對靜態分析和動態沙盒的逃逸，這樣成功繞過大多數殺毒引擎。可信應用商店＋繞過殺毒引擎，這樣病毒自然能輕松入侵用戶手機。本文接下來的內容將解析BankBot是如何規避殺毒引擎，病毒劫持釣魚過程可參考《警惕一大波銀行類木馬正在靠近，新型BankBot木馬解析》。

AVPass分析

1、使用成熟的AVPass技術，可繞過反病毒檢測系統

病毒AvPass工作流程圖如下：

Binary Obfuscation

混淆自身特征，包括類名、函數名、字符串加密、反射調用，並將待劫持應用包名sha1編碼，隨後使用加固技術，將惡意dex打包加密。處理後的app如下圖：

2、對抗動態沙盒

通過自檢測運行環境和增加用戶行為交互對抗沙盒，新型BankBot只有同時滿足以下4條才會觸發惡意行為：

• 運行在Android5.0以及以上設備
• 運行設備非俄羅斯、巴西、烏克蘭用戶
• 檢測運行環境，若非真機環境將不會觸發惡意行為
• 用戶行為交互，點擊按鈕

下圖運行設備檢測

3、FCM遠控，獲取短信驗證碼

目前，各大銀行實施雙因素認證即在支付過程中進行身份認證和基於手機動態密碼的驗證。BankBot在通過釣魚拿到用戶銀行身份信息後，還差動態短信，之前BankBot直接使用短信劫持，但這樣殺軟可通過靜態或動態檢測出惡意行為。新型BankBot通過集成谷歌提供的Firebase Cloud Messaging(簡稱FCM)框架，利用FCM向指定設備發送指令數據，從而獲取受害者短信驗證碼，也就是控制端在成功釣魚後，通過FCM下發獲取短信的指令，病毒讀取最新短信，通過網絡上傳至控制端。下圖整個攻擊流程。

FCM下發的指令數據還包括：更新C&C地址、彈偽造的通知欄、界面劫持數據，其中彈偽造的通知欄和界面劫持都是BankBot的釣魚手段。下圖下發的指令數據。

攻擊者一旦成功截獲受害者銀行賬號、密碼和短信動態驗證碼，將繞過銀行雙因素認證，這樣受害者們不僅僅構造成了一個可以被攻擊者控制的移動僵屍網絡，更成了攻擊者的天然提款機。

安全建議

1、建議用戶安裝錢盾等手機安全軟件，定期進行病毒掃描。

2、切勿點擊任何陌生鏈接，尤其是短信、QQ、微信等聊天工具中不熟識的“朋友”發來的鏈接。

------------------------------

* 作者：錢盾反詐實驗室，更多安全類熱點信息和知識分享，請關註阿裏聚安全的官方博客

AVPass技術分析：銀行劫持類病毒鼻祖BankBot再度來襲，如何繞過谷歌play的殺毒引擎？