Blackloan:針對中國、越南、馬來西亞VISA用戶的新黑產組織

背景介紹

近期奇安信病毒響應中心在日常監測中,發現了一批針對中國、越南、馬來西亞等國用戶的釣魚APP。該類釣魚APP主要通過仿冒正規APP誘騙用戶下載使用,通過仿冒的釣魚頁面,誘騙用戶填寫相關的個人銀行卡信息,從而達到竊取用戶賬戶信息,進而達到竊取用戶財產的目的。

經過分析發現,該類惡意軟體最早出現在2020年2月26日,且目前APP包名比較隨意大多為“com.loan.test1”,因此我們將該類銀行釣魚APP命名為“Blackloan”。跡象表明Blackloan目前只是測試樣本,後續可能還會進行更新。通過相關的關聯分析,Blackloan很有可能為新的電信詐騙團伙。

針對國內的釣魚攻擊

Blackloan目前在國內主要通過仿冒“Visa”與“安全防護”APP進行傳播,通過仿冒抽獎、中獎等釣魚圖片,誘騙用戶填寫敏感的個人信息。Visa雖然為美國信用卡,但在國內有大量的用戶群體,所以潛在影響比較大,目前已有國內用戶中招。

ViSA相關信息:

Blackloan仿冒Visa針對國內用戶釣魚頁面:

通過釣魚頁面,誘騙用戶填寫個人銀行卡信息,如果用戶進行了填寫,會上傳用戶個人信息到指定的服務端。

對用戶可能持有的銀行卡都做了相應的釣魚頁面:

仿冒最高人民檢察院的圖標:

針對越南的釣魚攻擊

Blackloan主要通過仿冒越南公安的APP進行釣魚攻擊,通過釣魚頁面誘騙用戶填寫敏感的個人信息,上傳到服務端後並進行後續攻擊。

仿冒越南公安部頁面:

通過釣魚頁面,誘騙用戶填寫個人信息:

針對馬來西亞的釣魚攻擊

Blackloan主要通過仿冒馬來西亞國家銀行APP進行釣魚攻擊,通過釣魚頁面誘騙用戶填寫敏感的個人信息,上傳到服務端後並進行後續攻擊。

仿冒馬來西亞國家銀行頁面:

通過釣魚頁面,誘騙用戶填寫個人信息:

樣本分析

行為描述

此次我們共發現Blackloan惡意APP 26個,包括其最早期的測試樣本,其代碼框架及代碼功能都相同。都是以釣魚為主,後台獲取用戶信息,跟進進行後續操作。

Blackloan運行後,通過相應的釣魚頁面誘騙填寫個人信息,當用戶填寫個人信息後,信息會被傳送到指定服務器。惡意程序會後台獲取並上傳用戶手機短信、手機聯繫人、手機號碼、手機固件信息、地理位置等,並可使用用戶手機發送指定短信等,以便進行更深入的惡意操作,達到竊取用戶財產的目的。

我們對樣本進行舉例分析:

應用名

Visa  Master

包名

com.sample.sample1

MD5

A13B3A0E161D0BF9FA1D80F56352A0AE

圖標

Blackloan代碼結構:

通過釣魚頁面誘騙用戶填寫個人信息:

數據包,返回獲取到的用戶信息至http://47.52.158.74:

代碼分析

獲取用戶個人信息並進行上傳,從而進行深入攻擊:

獲取用戶位置:

獲取短信:

獲取通訊錄:

發送獲取到的用戶信息至服務端:

http://62.60.134.177:7703/app/input.php

擴展分析

Blackloan此次主要仿冒的圖標信息:

本次我們捕獲了同源樣本26個,通過對比包名我們發現,該類釣魚APP可能只是測試樣本,惡意APP本次只是偽裝了應用名,包名還沒有進行偽裝。而最早的樣本出現在2020年2.26日,所以惡意APP後續還可能進行更新。

通過分析我們發現Blackloan此次的26個樣本中,基本每個樣本都有其單獨的服務器,雖然Blackloan出現的時間並不長,且樣本都可能處於測試階段,但其團伙投入可謂不小。

我們通過分析發現了其服務端的登錄頁面,登陸頁面都是清一色的使用了繁體中文,從行為習慣上分析,攻擊者可能和台灣電信詐騙團伙有一定的關係。

近年來關於台灣對內地電信詐騙的新聞,其中很多受害者為國內用戶,近年來發生的案件也比較多:

東南亞詐騙近年來也尤為嚴重:

總結

Blackloan由於出現的時間並不長,且樣本可能處於測試階段,所以在國內並沒大規模傳播,但國內也已經有用戶中招。奇安信病毒響應中心提醒廣大用戶,不要隨意安裝來源不明的APP,如果遇到需要填寫個人敏感信息的情況,請提前聯繫相應的官方客服進行確認。

目前奇安信威脅情報中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android樣本分析:

同時基於奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平台(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對此類攻擊的精確檢測。

IOC

MD5

5BC922612EF826F95D5CF46697292B82

EF3619529B507C53BD701A9207B40550

A13B3A0E161D0BF9FA1D80F56352A0AE

2CAACAB9C2B9BB606122E723FF64CE8B

7B2919DDD83F51949498CCA86A4A9C75

F61A8F344742F254515459E91642474B

406C593395231091741392BBC21903E4

1D7693846A33AF7084D9A94310538A5A

C01DB2337BE8E5E18231F74AA35D32C6

C21EAFD3EA3B905D8C40D1475FF78A68

2B03E1B08B88752DDFF026F58798A729

77F69C60B61E438A282191B1E4AFEE9D

6A1F47322748CA2E695635945DCFB478

161455A0024DF8525BCE039C90222FA5

BAF4A416E531F25B9FB917D3629F157D

0AC3DA0DBC34E9E67F2E49769BA04416

A28D84F43F30B017C8296A127CB1D45C

806276355682CF281B5A1598E0D1D88B

4A6096174B06124B51E1C08723827D65

D653129352A69917808D6B00C3DEDAA9

68C3C7540118446DB3DDB6391B1072DA

C785262B78DD947B2094DE506F7DBECE

D2F691E53E69863DE4CA903C2B43AE23

EF3619529B507C53BD701A9207B40550

8AE41E4258FD7FE550B1A1FFC080174B

6E8B39E0C446C160251B9928615B8678

E2E1FAFA30CDEFA2E017FAA54C28CE1A

C2

http://47.52.158.74

http://62.60.134.177

http://024113vn.com

http://213.176.61.9:9002

http://140.82.34.185

http://45.77.225.48

http://45.63.98.87

http://213.176.36.42:4206

http://bocongan113vn.com

http://213.176.36.42

http://213.176.60.234:3403

http://213.176.61.9:9004

http://www.gov-cbminfo.com

http://213.176.36.42:4205

http://www.vn84pd.com

http://155.138.161.5

http://8425113.com

http://62.60.134.219:1903

http://www.negaramy-bank.com

http://213.176.36.42:4202

http://www.gov-cbminfo.com

http://213.176.60.234:3401

http://62.60.134.177:7701

http://213.176.36.42:4203

http://213.176.61.9:9001

http://213.176.36.42:4207

相關文章