摘 要

  • 奇安信病毒响应中心移动安全团队监测到一批伪装成伊朗股权交易平台的复合型恶意软件,其在使用钓鱼页面进行金融诈骗的同时,会远程控制受害者设备并窃取隐私信息。

  • 木马家族起于2022年7月,于2023年5月份呈现爆发式增长趋势,收录样本量达148个。

  • 欺骗受害者若要领取账户股利,需先缴纳50000里亚尔的查询税。

  • 木马具有35项主要远程控制功能。

关键词:伊朗、正义股份、金融诈骗、隐私窃取

近日,奇安信病毒响应中心移动安全团队监测到一批伪装成伊朗股份交易平台“正义股份”应用的金融诈骗木马,区别于一般银行木马软件,其采用前端钓鱼和后台远控的复合型攻击形式,此方式或能大大提高其诈骗成功率。

经过数据挖掘和分析发现,此恶意软件家族始于2022年7月,于2023年5月份呈现爆发式增长趋势,截至报告发布日,收录样本量达148个,样本主要通过钓鱼网站和第三方应用市场进行传播。

一、攻击分析

  • 应用伪装

恶意软件伪装成“正义股份”应用,并使用相似图标,来诱导用户使用和骗取信任。软件使用Anywhere Software的B4A免费工具开发,能大大减少开发成本和难度,也更加便于复制分发。正版软件与恶意软件图标对比如下:

  • 金融诈骗

木马使用社会工程手段伪造钓鱼页面,循循善诱受害者缴纳“查询税”,获取受害者金融账户信息后,再结合后台远程控制功能实施进一步的攻击。

01 钓鱼链接获取

应用启动后会加载钓鱼链接,而获取URL的方式在不同版本中有所不同,分为硬编码和动态网页获取。

硬编码URL如“https://vcxtew.com/e/pay.php”,其访问限定在伊朗地区,渲染页面如下:

动态网页获取则是从主控服务器“url.txt”文件中读取,如从 “https://teuoi.com/missn/url.txt”中获取钓鱼链接“https://ed.apksahm.rest/𝐜‌‌/app.php”,获取钓鱼链接页面如下:

02 进入“司法系统”

钓鱼页面会首先要求受害者输入账户绑定的手机号,进入司法系统。

03 缴纳查询税

在受害者输入正确的手机号后,弹窗提示:若要领取账户股利,需先缴纳50000里亚尔(伊朗及其周边部分国家流通货币)的查询税。并要求受害者进行付款后继续使用。

04 账户信息录入

进入付款页面,诱导受害者输入账户卡号、第二识别码和动态密码等重要信息。

05 账户信息上传

受害者输入自己的账户信息后,信息被上传到服务器,且并无任何响应数据返回,而钓鱼页面达到目的后,则在页面显示“内部系统错误”信息。

1.账户信息上传如下:

2.页面显示如下:

二、远程控制

恶意软件在前端渲染钓鱼页面的同时,还会通过诱导受害者授予设备管理器、辅助功能和短信组等权限,在后台进行远程控制设备和窃取隐私信息的行为。下面我们通过窃取受害者短信行为详细示例和远控上传功能表总结来展示。

01获取用户短信

从奇安信QADE引擎的分析结果中,我们清晰的看到,在仿真的测试环境里,恶意软件具有违规收集行为,多次上传了受害者短信信息,检测结果如下:

窃取并上传用户短信关键源码如下:

上传短信包含监听收件箱单条上传和获取短信库文件上传,上传数据包示例如下:

02远控上传功能表

木马的远程控制功能可以理解为两大类,一是控制受害者设备,可以实现如发送短信、修改电量显示、静音等操作;二是控制窃取隐私信息,上传用户联系人、短信和采集文件等。

此木马具有35项主要的控制功能,除识别功能的指令和状态码外,一些控制窃取隐私信息的上传接口中也会使用action来标记操作,如上面分析的获取用户短信的“action=sms”。主要远控上传功能如下表。

三、情报分析

01C&C研判识别

恶意软件远控服务器C&C地址采用密文的形式硬编码在样本中,解密后为“http://teuoi.com”,而且项目路径在assets目录下getewayport.txt文件中。解密方法如下:

为躲避安全检测,除在上面分析中提到的通过服务器“url.txt”文件动态获取金融诈骗钓鱼链接外,远程控制C&C的项目路径也会进行不定期的迭代。根据公开情报显示,其取得了一定的效果,C&C相关URL及安全检测结果如下:

基于奇安信QADE引擎的综合情报分析平台奇安信威胁情报中心显示,此域名为远控木马恶意域名,如下:

02组织追踪思路

此次监测到的攻击事件为近期发生和活跃攻击,上面分析中也指出其具有一定的安全检测逃逸能力,所以在目前的公开情报中,没有关联到可疑的归属组织。通过以下两个方面的组织追踪思路,我们怀疑其开发者位于中东某地区,且不排除在伊朗,尚没有更充分的证据锁定攻击者。

1.波斯语背景

此木马家族的攻击目标为伊朗地区,使用的语言也为伊朗官方语言波斯语。而且通过追踪发现攻击者在与C2服务器交互数据时,依然采用波斯语。因此我们推测攻击方具有波斯语背景,使用波斯语的国家和地区有伊朗、阿富汗、伊拉克、塔吉克斯坦等,示例信息如下:

2.诈骗货币币种

在钓鱼页面进行金融诈骗时,要求受害者使用“里亚尔”进行付款。虽然“里亚尔”是伊朗的流通货币,但是在2020年5月4日伊朗将官方货币改为了“土曼”。不仅如此,相比于“里亚尔”,伊朗人习惯以“土曼”来标识价钱,也更为常用。当前使用“里亚尔”为流通货币的地区有伊朗、阿富汗、伊拉克、沙特阿拉伯和叙利亚。

附录 奇安信病毒响应中心

奇安信病毒响应中心是北京奇安信科技有限公司(奇安信集团)旗下的病毒鉴定及响应专业团队,背靠奇安信核心云平台,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。

结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE(人工智能)引擎,形成跨平台木马病毒、漏洞的查杀与修复能力,并且具有强大的大数据分析以及实现全平台安全和防护预警能力。

附录 奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对APP合规化安全检测。

通过其高价值移动端攻击发现流程已捕获到多起攻击事件,并发布了多篇移动黑产报告,对外披露了多个APT组织活动,近三年来已首发披露4个国家背景下的新APT组织(诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph)。

未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。

IOCs

C&C

teuoi.com

MD5

78f9498c331c01a79acd93e3ce0870ae

c86299441576db6608b2d33485b3f439

2d16ba68d44786650702cc3055d4f273

f6e08b6ff529fc5cd1ef5946fb75dc43

2827b1211af0446f60ca7ab7db434bea

c8385e1acd30af691a04d88e5cec50c6

22103d389980ec257b606ffec6d61f7e

437606f12563d3f1f1e74e69f0ef6735

1a3fa4fe173338307dbd957a80aa0842

0e28f68cabf287c87f2ac44cf178597b

0559aacec61335cfd04058042d64e000

dea63a4b5b87309d788973838b786b0a

4c07f4f3f2c278005f0c6178e1d1bed5

f2af7623e464bdf23070d14ebe830e49

eebdaffc171d1d9adb018b62e1206d56

0ab5fa899bf936fd5b0a619b3ef56082

5aa8ab31d88f15b367e7557c6086954b

f818b08b9eced7aa1d343f04df3f1e84

e61ce328f78af2a595e46080081d7226

eeb63bb3fb181d69be7d9750a67199b6

d644d8d798e60511ce102c0f3fb98949

f7166c86fd2bc2b8c6323fa3366c1735

fdfa239d3a98b8c500ea982010ab9a02

233dca4580066d2308895133a292a2e9

00e9a5f28f65e33b1dc78427f52503ac

0534bf25efcd3f68cb04e66153fb6ea1

05f12c81e397a42a41376620aebc797e

067b08f72790d38cc73fac498fb4320b

0b8f6fca3e73bca9daa979d2b270b923

0c6db3165d44ba0bfd417b004c00e02f

100800a1320693150f1519a61469a8ef

11d429a0c181e02910bd5e80f04c349e

12121e0ef9452430358a6b2d14580752

13cd663587a61bb2f8aac52d67bf5cce

14ce25ede2b754dfc3675c7217a6ccb9

16253fa5cb45a86898e67308ccd07eab

18892927d58b024c700f1bb0d4bed953

1a3879d3127ecdf32d9fdb9c90dea76a

1ce74acf3420819d6fd3ee3047377a4a

1d29bbe3263ba52fa576b050c1e99d84

1d591e989c19870a1ca7644138edc8f0

23d8c207c5e07aff2ee6053d94e8eb41

2423360a2ace5ac6f7aa5faf5e095578

24eb8c41a6a165540f6a817d1aa1bea4

25f9feb295057d9f7c9aa89b86dc2636

264f16bd0ec73880f3651d1a6e132e67

2888f81db1fd81c5482d81d8ffe2540e

2d10c3a55621faca170de9670b7146f3

2f2218c22b73fbf7666105c6f43574ac

2f3756ed9429debdfc1c698825a976fa

3072874fcba206b324cdc3a15cdc22ff

328a9e0670b711c52a2b10d09c0c47ba

3708cf43462f332f70ccb37bf89496dc

38eb4cee8da1cbc3c854c6fc6be7cced

398e5340f1e24d3eb4b5fe465ba8d480

39ed2e920f51350f9948ca38b422f31f

3d1265619356867f46102f53a32b9e1e

3dded49418234cf7507b98730748961a

3e4d3da90dcab0c0043d66baf187611d

42447bab0f496720f112622b289c98d5

496bffd9b2c2af4a49d97bd1fb14a8c4

4d7a039516495c0efa1bb92cd5cbf513

4dc67475e04d20a9b214c9349abd33f3

5075752c3bb8e13a307be38cd6f3d9b4

50c3f3146812ca89eaa2d54ec32543de

51b030a56d754aaada1bce066a512bbb

53cb6fb8ec6251b8ffaf1eb397948f15

53e3942bfbaa8da7db5ad4cc404a6475

54cede0d7a3d4abee64fb8c4c84081cf

57ff984e640410e87b95973f66b32d17

5818c2b5d3113122041399e64380d815

58cf8271a89d92256f18670d0cb22501

59585c9a6ab98b1e4147e81ac8b25d4e

5a7197565d14ee869bffd66942d84dcd

5c14674f8a20cc4914845d2db8ea9400

5c3557ad6bf693298a50e3442b4e413f

5cb53999024b8cc386437f13a81f49db

5deb349e4784dd897a4c3297197d1276

6386d790828d30b01684368ec58870c9

64065e24b77b12ff5f9d7598131b60f1

668b609b031763c0fb0ea574a7051255

6720c0d97b20b9ccd146b6f15541bc3e

6c9805037c435b7de8c74719d283f9a6

6cdc7d7b2a8df9a175c8499404ae5256

6d8103c2d3bd41868f40ee2c09e05acf

722bb4bfc65f2ebc44ddda8d562e0c47

75641b29d5ea3ff00f4b81fccc6d2418

77b5873fac55c7261b33a4558266ed69

7ace4296d03cc7995aab14826920eec8

7ee14c2d7a45024b854ded5c844c8497

7f32ffc815c3554046a20722ef1e7fbf

8020ab038fbbc8766e9bd123816a9175

81cc4d5d6acebd1b5342f8efca8f7a1f

83ff38109b9844c5351391aeebf49d75

84ea969b92723c44a21df3f31d4f3674

8791311a2097172d8a31e29376e72369

8a93cd40c0b0440c0e3820794bab6c15

8a9aa93eaf4757a24a52601feb045cc3

8c7f5ef7eb44283016b9a8ca9429e18d

8d18b987b4303e35065f5008f67c9680

8da464281ec913e1a6d3ab592df94aaf

8f819ac730a9a57d65d2715bae7ea2aa

9747b3960d9027a730b6d9e5f68c38a3

9c765cf4677bd240255aa150f79fa1af

a39905344ab530e7f44b5312bfb52734

a5e6de8c16b69f0471d30a5f29193199

a6be5c478eeda9f951c7043e1aefc672

a8e2af74823d661017c40787dc610bd6

a97cff561077806ef3cf65b25f4e69a1

ab094ed2697c48a489e347a7542a574f

ad22223cecbd77eed396cf33a8b1f42c

aeefa3a97480f2e864aad8b51b2af491

b4521b311e57c9253bf1091220ada882

b7ac5ea17cb74b7fd1f051c76e214a88

b7af0fc7e2bcd7ac23774f077dac4bec

b7dedb222317c0a0e27c868d02ca4f8d

b83149eec5073632408a0fddf49d63fe

b939479c74f6051a80f71c8435a81576

b955d1f1b90ab2c80062d18a016ad1e4

ba82f8a7dd374948c02bfe6734abe95c

bb058701644421e6fa4f4686e3995f74

bc22950e91ae53a9890e99737110e24c

c0b56acfb29d4a647819e3d721080ffc

c32f34b0752483d3a5d4c3567392e3d7

c7244cce6ae86b971095b7a6156ce0a4

ca9e6464c4abf251e39836ee07d1f1cf

cb5d7cba11c2e4830f5b50be7d94e57e

ccddd9b2cd3bf0b503af40eb3b8896bf

cedaa9d12ceaec59952a074e9c9a9e88

d066c5301ab43714d06147b7cb5c16fe

d2b912541d210833299b03f43ecae376

d889198b1fc1fdd6d71434b7f6babb66

d8be7dc181e965cd9f99e392cfbac791

de49ffd44fd145409731ab2f44990c1f

e0ad89be8d41dd11c8fe7fc9604866a2

e3d4d42b10a417b46fe1beaa9b62fed9

e3f2f6c3e626cb83adeafd193253ef50

e53b04ab75c2722b843d3840c62b599a

ed414a2c849401d13a3e6ac1299fec90

ed63c00a6976df340233c5496bb931e1

edd051e03fd58999670a2fa6c9d30105

f1c5ad5a001a4b08dfbdf0cf31ad0720

f693fd8f7e7f044d67bdca19924c9698

f80d15b49d582d81083033644a1a6a74

fb018a509711a4a37928395547234d53

fd210c0a61bbe9f0760e0db40bc5f111

fd46501d2c61bd4e6d0668c9a39b6ca3

fe425cab8a6d58bac792bcebdcecc774

声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。