登陆 注册

以伪造韩国银行APP的韩国黑产活动披露

№` ﹍°Y`` 2019-04-04 伪造韩国银行APP黑产活动披露
乐山桑云信息技术有限公司(www.sangyun.net)专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。

背景

360威胁情报中心近期发现一例针对韩国手机银行用户的黑产活动,其最早活动可能从2018年12月22日起持续至今,并且截至文档完成时,攻击活动依然活跃,结合木马程序和控制后台均为韩语显示,我们有理由认为其是由韩国的黑产团伙实施。

其攻击平台主要为Android,攻击目标锁定为韩国银行APP使用者,攻击手段为通过仿冒多款韩国银行APP,在诱骗用户安装成功并运行的前提下,窃取用户个人信息,并远程控制用户手机,以便跳过用户直接与银行连线验证,从而窃取用户个人财产。

截至目前,360威胁情报中心一共捕获了55种的同家族Android木马,在野样本数量高达118个,并且经过关联分析,我们还发现,该黑产团伙使用了300多个用于存放用户信息的服务器。

由于我们初始捕获的样本中,上传信息的URL包含有一个字段:KBStar,而KB也表示为korean bank的缩写,基于此进行联想,我们认为该团伙实乃韩国银行的克星,即Buster,因此我们将该黑产团伙命名为KBuster。

下面为分析过程。

诱饵分析

在捕获到一批伪造成韩国银行APP的诱饵后,我们首先对APP的图标以及伪造的APP名称进行归类,以便对这个针对安卓手机用户的团伙进行一个目标画像。

主要伪造的韩国银行为以下几家:

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第1张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第2张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第3张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第4张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第5张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第6张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第7张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第8张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第9张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第10张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第11张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第12张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第13张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第14张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第15张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第16张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第17张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第18张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第19张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第20张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第21张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第22张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第23张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第24张

 以伪造韩国银行APP的韩国黑产活动披露-互联网之家 以伪造韩国银行APP的韩国黑产活动披露 伪造 韩国银行APP 黑产活动披露 第25张

从木马的功能来看,其主要对中马用户手机的诸如短信、通讯录等信息进行收集和回传,其功能和国内在过去几年的“短信拦截马”的功能和意图相似。

由于我们通过加密密钥关联到包含中文信息的类似功能的木马程序,结合过去国内“短信拦截马”类黑产组织的特点和模式,我们推测该类木马程序的早期版本也有可能是由国内黑产人员参与开发制作,并被韩国马仔等使用来针对韩国银行手机用户的攻击。

基于此,从攻击目标和远控后台所使用语言,我们认为KBuster团伙是一个疑似来自韩国的黑产团伙,其幕后财力深厚,并且不排除与国内黑产团伙存在联系,

总结

KBuster为2019年发现的最活跃的伪造银行类APK的黑产团伙,其使用300多个服务器从事黑产业务,并使用了绕过银行双因子认证的手法进行用户财产窃取的手法,无不透露了该组织的专业性。

由于目前无法统计受害者的经济损失,并且APP仍然在窃取用户财产,因此我们披露了此次行动,希望韩国警方可以尽快处理,也希望其他用户在使用手机的过程中,切莫安装未知来源的手机应用,尽可能的在正规的第三方应用市场进行应用下载,防止被不法分子窃取隐私和个人财产。

*本文作者:360天眼实验室

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net