警惕一大波银行类木马正在靠近，新型BankBot木马解析

背景

来自安全公司Dr.Web的研究人员说，最近一个未命名的Android银行木马源代码在地下黑客论坛遭到了泄露。就在近期，阿里聚安全检测到大量新型BankBot家族木马，木马伪装成Good Weather、Flash Plаyеr、Play Мapкeт、follon.weather等应用，可劫持全球至少50家大型银行手机用户。

特点：新型BankBot木马配置灵活，执行开关受服务端控制；根据C&C端下发的指令进行远程控制；窃取用户隐私，对全球多家金融类app劫持，钓鱼登录界面，进而截获、捕捉用户输入数据，最终非法入侵用户互联网账户系统。

木马运行流程如下：

是否触发恶意代码

BankBot木马启动后会请求C&C端，判断是否执行恶意代码，若服务端返回非“0”则执行恶意代码。

该木马直接隐藏图标，并启动核心服务ge45g45gsdfsadfg，该服务使用CUP唤醒锁可常驻后台。

核心服务

控制电源状态为PARTIAL_WAKE_LOCK模式和使用CPU时钟锁，使核心服务常驻后台。恶意行为如下：

• 强制激活设备管理；

• 上传当前木马运行环境，包括：设备基本信息、是否管理激活、是否存在锁屏密码、是否短信拦截，用户安装的银行类app名；

• 服务端下发指令实施远程控制；

• 启动劫持服务

下图上传木马运行环境

↑ 上传设备状态

↑ 上传已安装银行app

上传数据由自身加密算法编码，解密结果：3592500503912*:1:1:0、3592500503912*:(中国联通)+86186670157**:4.4.2