在Google Play上發現使用SMiShing框架的虛假銀行App
隨著網際網路不斷的發展,很多銀行正在為自己的App提供更多功能,由於其應用程式的便利性,全球範圍內使用移動銀行服務的使用者也隨之越來越多。但隨著新的金融技術的激增以及使用者開始從特定銀行尋找應用程式和其他服務,詐騙者的機會也在增加。最近的一個例子是Movil Secure App。我們於10月22日在Google+Play/">Google Play上發現了這個惡意app,它是針對西班牙語使用者的 ofollow,noindex">SMiShing 的一部分。
Movil Secure是一個虛假的銀行App,假裝成移動令牌服務。它具有專業的外觀和複雜的使用者介面,開發人員努力誘使使用者認為它是合法的。我們還在同一開發人員名下發現了其他三個類似的假應用,Google確認這些應用已從Google Play中刪除。
Movil Secure於10月19日釋出,六天內的下載次數超過100次。下載次數如此之多,可能是因為該應用程式聲稱與Banco Bilbao Vizcaya Argentaria(BBVA)相連,BBVA是一家擁有多國業務的西班牙銀行集團。該銀行實際上以專業技術而聞名,其真正的移動銀行應用程式被認為是業界最好的App之一。
虛假App(見下圖1)充分利用了BVVA的知名度,並將其作為銀行的移動令牌服務(用於身份管理和交易授權 ),但仔細審查後發現,它並不具備任何所宣告的功能。
圖1.該應用聲稱它是數字令牌
該應用程式針對西班牙語使用者,並聲稱它可以用於識別並授權BBVA銀行客戶的交易。但是在分析其功能和行為後,我們將其歸類為間諜軟體。該間諜軟體非常簡單,這表明它可能是在Google Play上釋出的試用版App。
應用程式的所作所為
應用程式首次啟動時,它會收集裝置識別符號:裝置ID、作業系統版本和國家/地區程式碼。然後將所有信息傳送到其命令和控制(C&C)伺服器。它對使用者是隱藏的,因為手機螢幕上並沒有任何圖示。
圖2.裝置識別符號集合的快照
當訪問C&C伺服器時,我們看到了一個簡單的登入門戶,表明攻擊者開發了一個完整的管理系統來分析和組織收集的資料。這也表明他們可能正在組織所有資料發起攻擊行動。
圖3.命令和控制伺服器的登入頁面
它收集的資料不僅僅侷限於裝置識別符號。該應用程式還收集簡訊和電話號碼;分析此應用程式的程式碼表明這是此間諜軟體的主要目標。如下所示(圖4),當安裝了應用程式的裝置收到新的SMS時,它會將SMS發件人和訊息內容傳送到C&C伺服器和特定的電話號碼。這類資訊非常有價值,移動銀行App經常使用SMS來確認或授權銀行交易。
圖4. SMS的快照
應用程式背後的攻擊者已經開始使用他們為SMiShing收集的資料。在應用程式評論部分的帖子中,一位評論者說這是針對銀行卡的騙局。
圖5.評論聲稱應用程式是一個騙局
檢視開發人員的詳細資訊,可以看到他們名下擁有三個類似的假應用程式(如圖6所示)。Evo和Bankia是西班牙的知名銀行,而Compte de Credit則與任何大型金融機構都沒有聯絡。這三個應用程式於10月19日釋出,與Movil Secure同一時間。分析顯示這幾個應用程式具有與Movil Secure相同的例程,那就是收集識別符號和SMS資料,然後傳送到C&C伺服器。
圖6.相同開發人員的其他假應用程式
解決方案
我們懷疑從這些應用程式中獲取的資料可能會用於進一步的SMiShing攻擊,或者用於從這些西班牙銀行的客戶那裡收集銀行憑證。到目前為止,我們已經發現了此版本間諜軟體的功能,但我們將繼續監控和跟蹤其發展。
使用者應謹慎下載連結到銀行帳戶的應用程式,並應始終檢查它們是否合法的連線到銀行。此外,還應配備全面的移動安全程式,緩解移動惡意軟體。
IoC
