能直接從賬戶盜走錢財的銀行木馬,一直被稱為是惡意軟件中最邪惡的一種。近日,360安全大腦獨家發布《深度揭露Anubis移動銀行木馬》報告,全面披露了近期瞄準全球300多國家銀行機構,且來勢洶洶的Anubis銀行木馬,以及其背后隱藏的高危木馬制作網站。
報告顯示,2020年1月至今,360安全大腦共捕獲6000多個Anubis家族相關樣本,偽裝成全球300多家金融機構在線釣魚。同時,Anubis銀行木馬背后隱藏的惡意軟件制作網站,極大地降低了該木馬的準入門檻,威脅十分嚴峻。
Anubis銀行木馬竟然支持diy?
360安全大腦揭破“制作黑窩點”
不同以往病毒木馬的單純泛濫,此次Anubis銀行木馬危機再臨,還帶來了更危險的無門檻式Anubis木馬制作網站。
從360安全大腦監測數據來看,1月起既已開始活躍的Anubis銀行木馬背后,涉及2個公開木馬制作打包網站。網站展示界面雖不同,但域名均為同一IP,且使用方法也基本一致。
即使是技術小白,也可根據提示填寫相關配置,制作自己的Anubis銀行木馬,甚至可以直接根據網上泄露的后端代碼,成為Anubis銀行木馬運營者。
接下來,360安全大腦進一步對網站進行分析,發現該網站可提供大量圖標用以偽裝木馬。制作者不僅可以根據網站現有素材,將銀行木馬偽裝成Flash播放器應用程序、系統工具應用、加密貨幣應用、圖像處理應用和游戲等相關應用,還可以根據自己的需求,通過網站的自定義圖標功能,上傳任意偽裝圖標,提高木馬偽裝的多樣性。
而在分析兩個網站制作木馬的流程時,360安全大腦發現兩網站分別使用了不同的制作方法。其中一個網站使用Anubis反編譯后的smali代碼,另一個網站則直接使用Anubis的源代碼。在此必須一提的是,第二種制作方法的出現,說明Anubis應用程序源碼不僅早已泄露,且已被不法黑客利用。
26項高危代碼“無所不能”
甚至暗藏免殺代碼
緊接著,在分析網站Anubis應用源碼后,360安全大腦發現其代碼結構清晰且注釋完整。在受控端源碼部分,下圖顯示的Anubis配置相關代碼,就使用了尖括號包含的字符串,并與網站提供的選項一致。
值得注意的是,在Anubis 銀行木馬惡意代碼的具體功能上,竟高達26個項目。360安全大腦驗證后,確定涉及啟動指定應用程序、獲取所有申請的權限、獲取鍵盤記錄、顯示指定內容對話框、推送指定內容的通知、獲取所有聯系人號碼、向所有聯系人發送短信、請求訪問數據的權限、請求權限以確定設備的位置等高危行為,可謂破壞力十足。
除了上述惡意功能外,360安全大腦還在該網站上還發現了一份加固代碼,該代碼起到保護Anubis銀行木馬的作用,使其擁有免殺能力,避開殺毒軟件的攔截查殺。
最后,在Anubis銀行木馬的控制端源碼上,還擁有控制面板和釣魚功能。鑒于其代碼在2019年既已泄露,且配有詳細的使用教程,也就意味著任何人都可以利用該源碼創建Anubis銀行木馬的后臺系統,并基于該代碼添加其他釣魚頁面。
瞄準金融機構在線釣魚
疫情地區或成木馬“高熱目標”
除了極為繁復的惡意功能外,360安全大腦還在Anubis銀行木馬控制端源碼中,發現了大量的金融應用圖標以及對應釣魚網站源碼,具體涉及全球各地300多家金融機構。
部分金融機構應用圖標:
經360安全大腦分析指出,Anubis銀行木馬控制端源碼中涉及的金融機構,主要分布在歐洲、亞洲和北美的20多個國家/地區,其中涉及歐洲國家數量較多。
報告中,360安全大腦還披露了Anubis控制端代碼釣魚網站數量最多的前10個國家/地區,其中波蘭涉及釣魚網站數量最多,土耳其、德國緊隨其后,具體數據如下圖所示:
在Anubis銀行木馬總量上,2020年1月至今,360安全大腦共捕獲6000多個Anubis家族相關樣本,且在涉及的大量偽裝對象來上看,FlashPlayer出現頻率最高,是Anubis銀行木馬偽裝最多的對象。
值得強調的是,在利用金融機構釣魚偽裝FlashPlayer等工具傳播外,360安全大腦還發現了多起利用代碼托管服務平臺Bitbucket,傳播偽裝成新冠肺炎相關應用的Anubis銀行木馬。總體來看,偽裝新冠肺炎相關應用的木馬雖仍處于測試階段,但不排除未來瞄準新冠肺炎爆發嚴重地區的可能。
門檻走低恐殃及全球金融業
360安全大腦持續護航移動安全
作為一款始于2016風靡2017,幾經迭代并在2019年泄露后端代碼的銀行木馬家族,Anubis同時兼具了功能強大、使用門檻低等多重特質,而在此次制作網站出現后,無疑將進一步大幅度降低該銀行木馬的使用門檻,危及國內外金融行業。而360安全大腦作為網絡空間雷達防御系統,將繼續關注Anubis銀行木馬相關動態,持續為全面守護移動互聯網安全貢獻力量。
同時,針對日漸增長的Anubis銀行木馬攻擊態勢,360安全大腦建議各位用戶:
1、注意避免瀏覽未知來源的網頁,不要隨意點擊廣告、短信、電子郵件內的下載鏈接;
2、切勿輕易下載未知來源的應用軟件,并謹慎授權;
3、下載金融、疫情相關軟件時,請認準政府或權威機構來源;
4、前往正規手機應用市場下載安裝應用,有效規避中招風險。
360烽火實驗室簡介
作為全球頂級移動安全生態實驗室,致力于Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究,已全球首發多篇具備國際影響力的Android木馬分析報和Android木馬黑色產業鏈研究報告。
實驗室在為360手機衛士、360手機急救箱、360手機助手等產品提供核心安全數據和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。
