背景介绍
近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行·卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。
经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。
针对国内的钓鱼攻击
Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用·卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。
ViSA相关信息:
Blackloan仿冒Visa针对国内用户钓鱼页面:
通过钓鱼页面,诱骗用户填写个人银行·卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。
对用户可能持有的银行·卡都做了相应的钓鱼页面:
仿冒最高人民检察院的图标:
针对越南的钓鱼攻击
Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒越南公安部页面:
通过钓鱼页面,诱骗用户填写个人信息:
针对马来西亚的钓鱼攻击
Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒马来西亚国家银行页面:
通过钓鱼页面,诱骗用户填写个人信息:
样本分析
行为描述
此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。
Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。
我们对样本进行举例分析:
| 应用名 | Visa Master |
|---|---|
| 包名 | com.sample.sample1 |
| MD5 | A13B3A0E161D0BF9FA1D80F56352A0AE |
| 图标 |  |
Blackloan代码结构:
通过钓鱼页面诱骗用户填写个人信息:
数据包,返回获取到的用户信息至http://47.52.158.74:
代码分析
获取用户个人信息并进行上传,从而进行深入攻击:
获取用户位置:
获取短信:
获取通讯录:
发送获取到的用户信息至服务端:
http://62.60.134.177:7703/app/input.php
扩展分析
Blackloan此次主要仿冒的图标信息:
本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。
通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。
我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。
近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:
东南亚诈骗近年来也尤为严重:
总结
Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。
目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
背景介绍
近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行·卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。
经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。
针对国内的钓鱼攻击
Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用·卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。
ViSA相关信息:
Blackloan仿冒Visa针对国内用户钓鱼页面:
通过钓鱼页面,诱骗用户填写个人银行·卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。
对用户可能持有的银行·卡都做了相应的钓鱼页面:
仿冒最高人民检察院的图标:
针对越南的钓鱼攻击
Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒越南公安部页面:
通过钓鱼页面,诱骗用户填写个人信息:
针对马来西亚的钓鱼攻击
Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。
仿冒马来西亚国家银行页面:
通过钓鱼页面,诱骗用户填写个人信息:
样本分析
行为描述
此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。
Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。
我们对样本进行举例分析:
| 应用名 | Visa Master |
|---|---|
| 包名 | com.sample.sample1 |
| MD5 | A13B3A0E161D0BF9FA1D80F56352A0AE |
| 图标 | |
Blackloan代码结构:
通过钓鱼页面诱骗用户填写个人信息:
数据包,返回获取到的用户信息至http://47.52.158.74:
代码分析
获取用户个人信息并进行上传,从而进行深入攻击:
获取用户位置:
获取短信:
获取通讯录:
发送获取到的用户信息至服务端:
http://62.60.134.177:7703/app/input.php
扩展分析
Blackloan此次主要仿冒的图标信息:
本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。
通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。
我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。
近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:
东南亚诈骗近年来也尤为严重:
总结
Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。
目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
