银行拦截木马病毒有多恐怖？你的手机可能已经被监控了

一．简述

“银行拦截木马”病毒是一种精准钓鱼，窃取用户银行账户的病毒木马，涉案金额过亿。犯罪分子通过社会工程学手段获取到受害者的银行卡帐号密码，病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装，通过隐藏图标潜伏在用户手机，激活设备管理器导致无法卸载，最后通过监控手机的银行短信验证码，实现窃取用户银行卡里的金钱。根据腾讯安全反诈骗实验室大数据显示，“银行拦截木马”主要分布在东南亚国家中：缅甸，马来西亚，日本，俄罗斯，尼日利亚，印尼。

二．海外支付类病毒隐私收集方式

* STMP邮箱发送方式：通过隐藏后台潜伏在用户手机，拦截用户资金短信，窃取通讯录，通话记录，照片等以邮件方式发送

三．海外支付类病毒技术特点

* 涉及敏感权限包括：短信读写权限、通讯录读取权限、打电话权限；并且注册大量的广播事件，实时监控受害用户手机

* 钓鱼页面技术：C&C服务器云端下发展示内容伪造银行系统或社交网络登录，窃取用户隐私信息

* 监控应用：上传用户手机中的银行软件，防病毒软件，社交软件，加密货币应用

* 植入多个功能模块：银行木码中植入置顶勒索病毒模块，当用户卸载时激活勒索模块

* 反分析技术：加壳，反仿真，加密，混淆等其他规避技术增加检测难度

四.“银行拦截木马”申请的敏感权限

申请敏感权限包括：短信读写权限、通讯录读取权限、打电话权限；并且注册大量的广播事件，实时监控受害用户手机

五.“银行拦截木马”使用技术点

六. BankBot家族版本变化衍生

随着时间变化，基于社会工程学诈骗BankBot家族功能越来越丰富对抗成不断增加

七．“银行拦截木马”仿冒软件名Top 20榜单

通常会伪装成各种正常的软件例如:相册、社交软件、杀毒软件、相册等

八.“银行拦截木马”地域分布趋势

主要分布在东南亚国家中：缅甸，马来西亚，日本，俄罗斯，尼日利亚，印尼，其中东南亚国家是近几年国内电信网络诈骗作案人员藏身之地。

九．“银行拦截木马”技术点：

9.1 接受C＆C服务器指令：

当用户手机设备接受到C＆C服务器指令做指定操作上传信息（上传短信，通讯录，照片，GPS位置信息等）

9.2 劫持或者覆盖窗口、虚假“钓鱼”窗口

虚假通知被翻译出七种语言（俄语，英语，土耳其语，德语，意大利语，法语，乌克兰语）

9.3 拦截资金验证码短信

9.4 植入置顶勒索病毒模块，当用户取消设备管理器时自动激活置顶勒索病毒模块，强制将自身界面置于设备屏幕上方，致使用户无法正常使用设备，并以支付解锁对用户进行勒索。

9.5 流氓申请激活设备管理器权限，连续频繁弹出窗口，直至用户点击激活

9.6 检测用户移动设备上安装的银行软件，防病毒软件，社交软件，加密货币应用发送到远程服务器，为后续仿冒应用推出新型病毒

十．设备管理器清理方案：

无ROOT权限清除方案：

*使用adb命令行“amforce-stop包名”可以强制关闭应用

*使用手机管家查杀后即可查杀卸载病毒

十一．安全建议

(1)谨慎下载安装各类破解以及盗版应用,如破解的游戏等

(2)建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性

(3)安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

“银行拦截木马”攻击目标银行类和支付系统，加密货币软件，社交软件，防病毒软件以下是详细列表：

银行应用和支付系统

*Sbe*******Online – ru.**********mobile;

*Sbe*******iness Online – ru. **********_sbbol;

*Al****Bank – ru.al**********.android;

* A****Business– ru.al**********do.amc;

*Visa*****Wallet – r****w;

* R******mobilebank – ru.ra**********news;

*Ti***ff – com.id**********.android;

*Pa***al – com.pay**********mobile;

*Web***** Keeper – com.**********.my;

*RO****Online – ru.ro**********oid;

* V****Online– ru.vtb24. **********.android;

* M****Bank– ru.si**********d.ui;

*Ya****Money: online payments – ru. **********money;

*Pr****t24 – ua. **********.ap24;

*Ru*********mobile bank – ru.si**********bbank;

* U***NK- financial supermarket – com. *****ksu;

*Id*****Bank – com.a**********bank;

* I**O– pl.**********iko;

*Ba***SMS – com**********ms;

* V******(Ukraine)– ua.v**********droid;

*Osc*****24/7 – ua.os**********line;

*Pla******Bank – com.tr**********atinum;

*Un******Mobile – hr.ass**********a.mUCI.ua;

*Raiff******Online – ua.pent**********production;

*Uk******bank – com.ukr**********CardM;

*St****Mobile – com.cofor**********android;

*Ch****Mobile – com. **********roid;

*Bank******Mobile Banking – com. ********.bofa;

*We*******Mobile – com.w**********mobile;

*TD*******tional – com.ws**********.tddii;

*TD*******Trading – com. **********t.trader;

*Ak*****Direkt – com.ak**************_direkt;

*Ya*******Mobil Bankacılık – com. *****.android;

* Ç*******OR – com. *********iscek;

*JS*****BANK – com. **********.iscep;

* İ******ep –com. ********iscep;

* İ******et –com. *********isbankasi.

加密货币应用

*Bi****nex – bitf*********app;

*Bi****nium – veke*********rtex

*Bit*******Widget – brot*********dget;

*Bitcoin/**********ticker – master*********action;

*Fl*******idget – leowa**********oinsw;

*Bit*******Price – ozgu************ice;

*Cry*******Prices All-in-One – coinp**********ges;

*Block*****in – Bitcoin & Ether Wallet – block******droid;

*Block*******Merchant – block*********chant;

*WU*******paid – hyper************repaid;

* B*******com– Bitcoin Wallet – block********wallet;

* B*******FARI– Free Bitcoin – claimy*************fari;

*Bit*******IQ – hand*************riceiq;

*Bit*******allet – schil*************let;

*Block*******Bitcoin / Altcoin App – block***********folio;

*Bit*******Freewallet – org. ***********app;

*Bit*******Crane – bit************.money;

*Bit*******MarketCap.com (unofficial) / Altcoin – coin************app;

*coinpay**************sapp (CoinPayments)

*Bit************Freewallet – org. ************.app;

*Coin*******Capp – Blockchain Cryptocurrencies – cenc***********tcapp;

*Cry*******Story – Cryptocurrency Portfolio – benzne*************story;

*Dogecoin Wallet – lang************let.

社交应用

Wh******App- com.********sapp;

P******Store– com.**************ding;

Me******ger– com.**********orca;

F*******ok– com.**************katana;

Y*****be– com.**************youtube;

U***er– com**********cab;

V*****er– com***********voip;

Sn*******at– com************android;

In*******am– com***********android;

i**o– com**************imoim;

Tw*****r– com.**********android.

防病毒应用

*Anti*******Light – com *********web;

* C**********AntiVirus– com.**********security;

*Kas**********Security – com.**********.free;

*ES**********Antivirus – com.*********.ems;

*Avast**********Antivirus – com.**********security;

*Clean**********Antivirus – com. **********.mguard;

*36**********Antivirus – com. **********.security;

*AV**********Android – com.********virus;

*Anti**********Cleaner – com.**********tivirus;

*Sup**********Antivirus – com.**********.master;