Blackloan:针对中国、越南、马来西亚VISA用户的新黑产组织

背景介绍

近期奇安信病毒响应中心在日常监测中,发现了一批针对中国、越南、马来西亚等国用户的钓鱼APP。该类钓鱼APP主要通过仿冒正规APP诱骗用户下载使用,通过仿冒的钓鱼页面,诱骗用户填写相关的个人银行卡信息,从而达到窃取用户账户信息,进而达到窃取用户财产的目的。 经过分析发现,该类恶意软件最早出现在2020年2月26日,且目前APP包名比较随意大多为“com.loan.test1”,因此我们将该类银行钓鱼APP命名为“Blackloan”。迹象表明,Blackloan目前只是测试样本,后续可能还会进行更新。通过相关的关联分析, Blackloan很有可能为新的电信诈骗团伙。

针对国内的钓鱼攻击

Blackloan目前在国内主要通过仿冒“Visa”与“安全防护”APP进行传播,通过仿冒抽奖、中奖等钓鱼图片,诱骗用户填写敏感的个人信息。Visa虽然为美国信用卡,但在国内有大量的用户群体,所以潜在影响比较大,目前已有国内用户中招。 ViSA相关信息:
Blackloan仿冒Visa针对国内用户钓鱼页面:
通过钓鱼页面,诱骗用户填写个人银行卡信息,如果用户进行了填写,会上传用户个人信息到指定的服务端。 对用户可能持有的银行卡都做了相应的钓鱼页面:
仿冒最高人民检察院的图标:

针对越南的钓鱼攻击

Blackloan主要通过仿冒越南公安的APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒越南公安部页面:

通过钓鱼页面,诱骗用户填写个人信息:

针对马来西亚的钓鱼攻击

Blackloan主要通过仿冒马来西亚国家银行APP进行钓鱼攻击,通过钓鱼页面诱骗用户填写敏感的个人信息,上传到服务端后并进行后续攻击。

仿冒马来西亚国家银行页面:

通过钓鱼页面,诱骗用户填写个人信息:

样本分析

行为描述

此次我们共发现Blackloan恶意APP 26个,包括其最早期的测试样本,其代码框架及代码功能都相同。都是以钓鱼为主,后台获取用户信息,跟进进行后续操作。 Blackloan运行后,通过相应的钓鱼页面诱骗填写个人信息,当用户填写个人信息后,信息会被传送到指定服务器。恶意程序会后台获取并上传用户手机短信、手机联系人、手机号码、手机固件信息、地理位置等,并可使用用户手机发送指定短信等,以便进行更深入的恶意操作,达到窃取用户财产的目的。 我们对样本进行举例分析:
应用名 Visa Master
包名 com.sample.sample1
MD5 A13B3A0E161D0BF9FA1D80F56352A0AE
图标
Blackloan代码结构:
通过钓鱼页面诱骗用户填写个人信息:
数据包,返回获取到的用户信息至http://47.52.158.74:

代码分析

获取用户个人信息并进行上传,从而进行深入攻击: 获取用户位置:
获取短信:
获取通讯录:
发送获取到的用户信息至服务端:
http://62.60.134.177:7703/app/input.php

扩展分析

Blackloan此次主要仿冒的图标信息:
本次我们捕获了同源样本26个,通过对比包名我们发现,该类钓鱼APP可能只是测试样本,恶意APP本次只是伪装了应用名,包名还没有进行伪装。而最早的样本出现在2020年2.26日,所以恶意APP后续还可能进行更新。
通过分析我们发现Blackloan此次的26个样本中,基本每个样本都有其单独的服务器,虽然Blackloan出现的时间并不长,且样本都可能处于测试阶段,但其团伙投入可谓不小。 我们通过分析发现了其服务端的登录页面,登陆页面都是清一色的使用了繁体中文,从行为习惯上分析,攻击者可能和台湾电信诈骗团伙有一定的关联。
近年来关于台湾对内地电信诈骗的新闻,其中很多受害者为国内用户,近年来发生的案件也比较多:
东南亚诈骗近年来也尤为严重:

总结

Blackloan由于出现的时间并不长,且样本可能处于测试阶段,所以在国内并没大规模传播,但国内也已经有用户中招。奇安信病毒响应中心提醒广大用户,不要随意安装来源不明的APP,如果遇到需要填写个人敏感信息的情况,请提前联系相应的官方客服进行确认。 目前奇安信威胁情报中心文件深度分析平台:(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:
同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

IOC

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hxxp://47.52.158.74 hxxp://62.60.134.177 hxxp://024113vn.com/ hxxp://213.176.61.9:9002 hxxp://140.82.34.185 hxxp://45.77.225.48/ hxxp://45.63.98.87/ hxxp://213.176.36.42:4206 hxxp://bocongan113vn.com hxxp://213.176.61.9:9002 hxxp://bocongan113vn.com/ hxxp://213.176.36.42/ hxxp://213.176.60.234:3403 hxxp://213.176.61.9:9004 hxxp://www.gov-cbminfo.com hxxp://213.176.36.42:4205 hxxp://45.63.98.87 hxxp://www.vn84pd.com hxxp://155.138.161.5 hxxp://www.gov-cbminfo.com hxxp://213.176.36.42:4205 hxxp://213.176.61.9:9004 hxxp://8425113.com hxxp://62.60.134.219:1903 hxxp://www.negaramy-bank.com hxxp://213.176.36.42:4202 hxxp://213.176.36.42:4205 hxxp://www.gov-cbminfo.com hxxp://8425113.com hxxp://62.60.134.219:1903 hxxp://www.gov-cbminfo.com hxxp://213.176.36.42:4205 hxxp://213.176.60.234:3401 hxxp://62.60.134.177:7701 hxxp://213.176.36.42:4203 hxxp://213.176.61.9:9001 hxxp://213.176.36.42:4207
0 0 vote
Article Rating

未经允许不得转载:x-sec » Blackloan:针对中国、越南、马来西亚VISA用户的新黑产组织

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x