KBuster: Kore Bankası APP'sini taklit ederek Kore'de yasadışı üretim faaliyetlerinin ifşa edilmesi
arka fon
360 Tehdit İstihbarat Merkezi kısa süre önce Koreli mobil bankacılık kullanıcılarını hedefleyen bir bilgisayar korsanlığı vakası keşfetti.En erken etkinliği 22 Aralık 2018'den günümüze kadar devam edebilir. Belgenin tamamlanmasıyla birlikte, saldırı etkinliği Truva atı programları ve kontrol arka planlarıyla birlikte hala etkindir. Korece'nin gösterdiği gibi, Güney Koreli çeteler tarafından yapıldığına inanmak için nedenlerimiz var.
Ana saldırı platformu Android'dir ve saldırının hedefi, Bank of Korea APP kullanıcılarına yöneliktir. Saldırının yöntemi, kullanıcının kişisel bilgilerini çalmak ve kullanıcının başarıyla yüklendiği ve çalıştırdığı varsayımıyla, çeşitli Kore banka APP'lerinin sahtesi yoluyla kullanıcının cep telefonunu uzaktan kontrol etmektir. Kullanıcının banka ile doğrudan bağlantı doğrulamasını atlamak, böylece kullanıcının kişisel mülkünü çalmak için.
Şimdiye kadar, 360 Tehdit İstihbarat Merkezi aynı aileden toplam 55 tür Android Truva atını yakaladı ve vahşi ortamdaki örnek sayısı 118'e kadar çıktı. Korelasyon analizinden sonra, çetenin kullanıcı bilgilerini depolamak için 300'den fazla sunucu kullandığını da gördük. .
Başlangıçta yakaladığımız örnekte, bilgi yükleme URL'si bir alan içerdiğinden: KBStar ve KB aynı zamanda bu ilişkiye dayalı olarak Kore bankasının kısaltmasıdır, grubun aslında Kore bankasının, yani Buster'ın düşmanı olduğunu düşünüyoruz. Siyah üretim grubuna KBuster adı verildi.
Aşağıdaki analiz sürecidir.
Yem analizi
Kore bankalarının uygulamalarını taklit eden bir dizi tuzağı yakaladıktan sonra, Android telefon kullanıcılarını hedefleyen bu çetenin hedef portresini yapmak için ilk olarak uygulama simgelerini ve sahte uygulama adlarını kategorize ettik.
Başlıca sahte Kore bankaları şunlardır:
Taklit bankacılık uygulamalarından birini (Ulusal Banka) açarken, görünen arayüz aşağıdaki gibidir:
Belirtilen sayfaya tıklamak, ilgili satış elemanı fotoğrafını gösterecektir.
Çerçeve analizi
Yakalanan Android örneklerinin tümü bir dizi çerçeve kullandığından ve varyantlar fazla değişmediğinden, tipik örneklerden birini analiz edecek ve KBuster ailesi APP'nin belirli özelliklerini özetleyeceğiz.
Örnek bilgiler
Dosya adı .apk yazılım adı (çeviri: Ulusal Banka) yazılım paketi adı com.kbsoft8.activity20190313aMD52FE9716DCAD75333993D61CAF5220295 örnek simgesi
Örnek yürütme akış şeması aşağıda gösterilmiştir.
Truva atı çalıştıktan sonra, "Ulusal Banka" sahte bir kimlik avı sayfası açacak ve kullanıcıları kişisel bilgilerini doldurmaları için kandıracaktır;
Şu anda, Truva Atı kullanıcının adres defterini ve SMS içeriğini arka planda alacak ve sabit bir sunucuya yükleyecek ve sunucudaki kullanıcının cep telefonunu izleyecek ve gerçek zamanlı izleme elde etmek için kullanıcının cep telefonunun mevcut durumunu her 5 saniyede bir yenileyecektir.
Buna ek olarak, Truva Atı kullanıcının cep telefonunu uzaktan kontrol edebilir ve bankanın iki faktörlü kimlik doğrulamasını atlamak için ilgili Kore bankaları gibi finans endüstrisindeki 369 telefon numarasında çağrı yönlendirme işlemleri gerçekleştirebilir.Ayrıca cep telefonu çağrılarını izleyebilir ve gelen çağrıları değiştirebilir. Zil çalmak, bir kullanıcının aramasını özel olarak kapatmak ve arayanın numarasını bloke etmek gibi işlemler.
Kod analizi
1. Kullanıcının cep telefonu adres defterini ve kısa mesajlarını alın ve sunucuya yükleyin.
Kullanıcı adres defterini alın:
Kullanıcı SMS'sini alın:
Elde edilen kullanıcı bilgilerini sunucuya yükleyin:
Sunucu yapılandırma bilgileri:
Elde edilen kullanıcı bilgilerini yükleyin:
2. Kullanıcının cep telefonunu uzaktan kontrol edin
Kullanıcının telefon zil sesini değiştirin:
Kullanıcının cep telefonuna arama aktarma işlemini gerçekleştirin Arayan numara zaten varsa ve çalınan numaralar arasında olduğunda aramayı kapatın ve numarayı engelleyin:
Bu ailenin diğer Truva atları, yukarıdaki kodla hemen hemen aynıdır ve daha az değişiklikle aynı aileden Truva atları olarak tanımlanabilirler.
İzlenebilirlik analizi
Truva atı programını analiz ederek, kullanıcı verilerini depolamak için kullanılan FTP sunucusunun hesap ve şifresini elde edebiliriz.Sunucunun ekran görüntüsü aşağıdaki gibidir:
Kurbanlardan birinin şifrelenmiş metin mesajları ve adres defteri dosyaları:
Şifresi çözülmüş veriler:
Ek olarak, bazı özel yollarla izleme için sunucu hesabı ve şifresini aldık Aşağıdaki resim, uzaktan kumanda sunucu görüntüleme sayfasını göstermektedir.
Orijinal Korece sayfası şunları gösterir:
Çince sayfa görüntüsüne çevrildi:
Çağrı yönlendirme ayarları, 369 Kore bankasını ve finans kurumunu arayabilir ve yönlendirebilirsiniz:
Burada, çağrı yönlendirme ayarlarındaki zorunlu arama ve zorunlu giden telefon numaralarının esas olarak Kore Bankası'nın telefon numaraları olduğunu görebiliriz. Rolü hakkında bazı spekülasyonlarımız var:
1. Banka numarasının çağrı aktarımı ayarlanarak, kullanıcı ile banka arasındaki çağrı doğrudan saldırganın cep telefonuna aktarılabilir ve aynı zamanda kurbanın SMS'i gerçek zamanlı olarak saldırgan tarafından da alınabildiği için bankanın mülk işlemleri için SMS'ini atlayabilir Doğrulama kodunun veya sesli doğrulama kodunun çift yazdırmalı kimlik doğrulama yöntemi.
2. Banka numarasının ele geçirilmesi, kullanıcının bankadaki hesabındaki anormal davranışları tespit etmek ve bir telefon doğrulama işlemini gerçekleştirmek için de kullanılabilir, böylece kullanıcı normalde banka kaynağından ilgili bildirimi alamaz.
Kullanıcının cep telefonu numarası sayfasını engelleyin:
Yakalanan KBuster çetesinin tüm APK örneklerini analiz ettikten sonra, siyah üretim işine girmek için 300'den fazla sunucunun kullanıldığını ve IP'nin temelde seri numaralarıyla ayarlandığını gördük. Yukarıdaki analizden, gerçekleştirmek için rastgele bir sunucu seçeceği anlaşılabilir. Bilgi yükleme. Çetenin perde arkasında derin mali kaynaklara sahip olduğu görülüyor.
Ek olarak, tüm mağdurların kullanıcı verilerinin boyutuna ilişkin ön istatistiklerden sonra, toplanan bilgi miktarının 3G kadar yüksek olduğunu ve APP'nin hala bilgi yüklediğini ve aile varyantlarının günlük olarak ekleneceğini gördük. Çok etkin.
Ek olarak, örnekteki bir anahtarla ilişki araması yaptıktan sonra, Kore bankası olarak da gizlenmiş bir Truva atı örneğiyle ilişkilendiriliriz ve Truva atı kodundaki ek açıklama bilgileri de Çince'dir.
Truva atının işlevi açısından, esas olarak Çinli ve Malezyalı kullanıcıların cep telefonlarından metin mesajları ve adres defterleri gibi bilgileri toplar ve geri gönderir.İşlevi, Çin'deki "SMS engelleme atı" nın son birkaç yıldaki işlevlerine ve niyetlerine benzer.
Truva atı programını, geçmişte yerli "SMS önleme atı" gangster organizasyonunun özellikleri ve modelleriyle birleştirilen şifreleme anahtarı aracılığıyla Çince bilgileri içeren benzer işlevlerle ilişkilendirdiğimiz için, bu tür Truva atı programının erken sürümünün yerli gangsterden kaynaklanabileceğini düşünüyoruz. Üretim personeli geliştirme ve üretime katıldı ve Güney Koreli atlar ve diğerleri tarafından Kore bankasının cep telefonu kullanıcılarına saldırmak için kullanıldı.
Buna dayanarak, saldırı hedefine ve uzaktan kumanda arka planında kullanılan dile dayanarak, KBuster grubunun, perde arkasında derin mali kaynaklara sahip şüpheli bir Güney Koreli siyah üretim grubu olduğuna ve yerli siyah üretim grubuyla bağlantıyı göz ardı etmediğine inanıyoruz.
sonuç olarak
KBuster, 2019'da sahte banka APK'larını kullanan en aktif siyah üretim grubudur. Siyah üretim işine girmek için 300'den fazla sunucu kullanıyor ve kullanıcı mülkünü çalmak için bankanın iki faktörlü kimlik doğrulamasını atlayan bir yöntem kullanıyor. Kuruluşun profesyonelliği.
Kurbanların ekonomik kayıplarını saymak şu anda imkansız olduğundan ve APP hala kullanıcıların mallarını çaldığından, bu eylemi açıkladık. Güney Kore polisinin bununla mümkün olan en kısa sürede ilgilenebileceğini umuyoruz. Ayrıca, diğer kullanıcıların telefonlarını kullanırken bilinmeyen kaynakları kurmaktan kaçınmalarını umuyoruz. Cep telefonu uygulamaları için, suçluların mahremiyet ve kişisel mülkiyeti çalmasını önlemek için resmi üçüncü taraf uygulama pazarındaki uygulamaları olabildiğince indirin.
* Yazar: FreeBuf.COM'dan yeniden basılan 360 Eye of Heaven laboratuvarı
