背景360威胁情报中心近期发现一例针对韩国手机银行用户的黑产活动,其最早活动可能从2018年12月22日起持续至今,并且截至文档完成时,攻击活动依然活跃,结合木马程序和控制后台均为韩语显示,我们有理由认为其是由韩国的黑产团伙实施。其攻击平台主要为Android,攻击目标锁定为韩国银行APP使用者,攻击手段为通过仿冒多款韩国银行APP,在诱骗用户安装成功并运行的前提下,窃取用户个人信息,并远程控制用户手机,以便跳过用户直接与银行连线验证,从而窃取用户个人财产。截至目前,360威胁情报中心一共捕获了55种的同家族Android木马,在野样本数量高达118个,并且经过关联分析,我们还发现,该黑产团伙使用了300多个用于存放用户信息的服务器。由于我们初始捕获的样本中,上传信息的URL包含有一个字段:KBStar,而KB也表示为korean bank的缩写,基于此进行联想,我们认为该团伙实乃韩国银行的克星,即Buster,因此我们将该黑产团伙命名为KBuster。下面为分析过程。诱饵分析在捕获到一批伪造成韩国银行APP的诱饵后,我们首先对APP的图标以及伪造的APP名称进行归类,以便对这个针对安卓手机用户的团伙进行一个目标画像。主要伪造的韩国银行为以下几家而当打开其中一个仿照的银行APP后(国民银行),可见界面如下所示:点击指定页面会显示出对应的营业员照片。框架分析由于捕获的安卓样本均使用一套框架,并且变种之间均改动不大,因此我们将其中一个典型样本进行剖析,并总结出KBuster家族APP的具体特征。样本信息文件名称국민은행.apk软件名称국민은행(翻译:国民银行)软件包名com.kbsoft8.activity20190313aMD52FE9716DCAD75333993D61CAF5220295安装图标样本执行流程图如下所示。该木马运行以后会弹出仿冒为“国民银行”的钓鱼页面,并诱骗用户填写个人信息;而此时,木马会在后台获取用户通讯录、短信内容并上传至固定服务器,并会在服务器对用户手机进行监控,每隔5秒对用户手机当前状态进行刷新,从而达到实时监控除此之外,该木马会对用户手机进行远控操作,并可对韩国相关银行等金融行业的369个 *** 号码进行呼叫转移操作从而绕过银行双因素认证,还可以监听手机通话、修改来电 *** 、私自挂断用户来电并拉黑来电号码等操作。具体代码分析如下一、获取用户手机通讯录、短信并上传到服务器。获取用户通讯录:获取用户短信:将获取到的用户信息上传到服务器:服务器配置信息:上传获取到的用户信息:二、对用户手机进行远程控制更该用户手机 *** :
只要你有办法。什么软件都可以的。不仅仅是陌陌,qq,微信上面,你都可以, 陌陌嘛 在应用商店搜谈谈陌陌就会出来很多这样的软件 同城热约,单身交友,91约,附近交友软件,还有以前的陌陌啊,其实这类还有不...
WordPress一个非常流行的插件WP GDPR Compliance 被发现存在权限提升漏洞,该插件的安装量大约为10万。漏洞允许未授权的攻击者进行权限提升,以进一步入侵有漏洞的站点。研究人员建议...
微信的发展速度很快,而在此过程中也发生了一系列的问题,暗黑的私自买卖不断出现。这不又有一位陷入了,骗子总是打着可以让你同步在自己的手机上查看到老婆微信聊天记录的幌子开始让你进入骗局。所以在生活中尽量不...
1月20日消息,《电商报》获悉,天眼查数据显示,银隆新能源股份有限公司近日发生人事变动,包括珠海格力电器股份有限公司董事长董明珠在内的6位董事退出。与此同时,职工监事胡兆伟、副总经理王红霞、监...
偷偷同步接收微信 微信删除的谈天纪录怎样规复?删除后怎样规复微信纪录,成了我的小同伴们非常体贴的疑问。由于微信纪录时常会被误删除,规复起来很繁难,偶然即便经由良久的一天也很难规复。因此,我的小同伴们...
据外媒,谷歌已正式将威胁检测功能引入该公司旗下的Chronicle网络安全平台,并承诺为企业提供与自家规模相当的威胁分析服务。 据悉,为了提升面对潜在竞争对手的企业客户的吸引力,Chro...