能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行机构,且来势汹汹的Anubis银行木马,以及其背后隐藏的高危木马制作网站。
报告显示,2020年1月至今,360安全大脑共捕获6000多个Anubis家族相关样本,伪装成全球300多家金融机构在线钓鱼。同时,Anubis银行木马背后隐藏的恶意软件制作网站,极大地降低了该木马的准入门槛,威胁十分严峻。
Anubis银行木马竟然支持DIY?
360安全大脑揭破“制作黑窝点”
不同以往病毒木马的单纯泛滥,此次Anubis银行木马危机再临,还带来了更危险的无门槛式Anubis木马制作网站。
从360安全大脑监测数据来看,1月起既已开始活跃的Anubis银行木马背后,涉及2个公开木马制作打包网站。网站展示界面虽不同,但域名均为同一IP,且使用方法也基本一致。
即使是技术小白,也可根据提示填写相关配置,制作自己的Anubis银行木马,甚至可以直接根据网上泄露的后端代码,成为Anubis银行木马运营者。
而在分析两个网站制作木马的流程时,360安全大脑发现两网站分别使用了不同的制作方法。其中一个网站使用Anubis反编译后的smali代码,另一个网站则直接使用Anubis的源代码。在此必须一提的是,第二种制作方法的出现,说明Anubis应用程序源码不仅早已泄露,且已被不法黑客利用。
26项高危代码“无所不能”甚至暗藏免杀代码紧接着,在分析网站Anubis应用源码后,360安全大脑发现其代码结构清晰且注释完整。在受控端源码部分,下图显示的Anubis配置相关代码,就使用了尖括号包含的字符串,并与网站提供的选项一致。
值得注意的是,在Anubis 银行木马恶意代码的具体功能上,竟高达26个项目。360安全大脑验证后,确定涉及启动指定应用程序、获取所有申请的权限、获取键盘记录、显示指定内容对话框、推送指定内容的通知、获取所有联系人号码、向所有联系人发送短信、请求访问数据的权限、请求权限以确定设备的位置等高危行为,可谓破坏力十足。
除了上述恶意功能外,360安全大脑还在该网站上还发现了一份加固代码,该代码起到保护Anubis银行木马的作用,使其拥有免杀能力,避开杀毒软件的拦截查杀。
最后,在Anubis银行木马的控制端源码上,还拥有控制面板和钓鱼功能。鉴于其代码在2019年既已泄露,且配有详细的使用教程,也就意味着任何人都可以利用该源码创建Anubis银行木马的后台系统,并基于该代码添加其他钓鱼页面。
瞄准金融机构在线钓鱼
疫情地区或成木马“高热目标”除了极为繁复的恶意功能外,360安全大脑还在Anubis银行木马控制端源码中,发现了大量的金融应用图标以及对应钓鱼网站源码,具体涉及全球各地300多家金融机构。
部分金融机构应用图标:
经360安全大脑分析指出,Anubis银行木马控制端源码中涉及的金融机构,主要分布在欧洲、亚洲和北美的20多个国家/地区,其中涉及欧洲国家数量较多。
报告中,360安全大脑还披露了Anubis控制端代码钓鱼网站数量最多的前10个国家/地区,其中波兰涉及钓鱼网站数量最多,土耳其、德国紧随其后,具体数据如下图所示:
在Anubis银行木马总量上,2020年1月至今,360安全大脑共捕获6000多个Anubis家族相关样本,且在涉及的大量伪装对象来上看,FlashPlayer出现频率最高,是Anubis银行木马伪装最多的对象。
值得强调的是,在利用金融机构钓鱼伪装FlashPlayer等工具传播外,360安全大脑还发现了多起利用代码托管服务平台Bitbucket,传播伪装成新冠肺炎相关应用的Anubis银行木马。总体来看,伪装新冠肺炎相关应用的木马虽仍处于测试阶段,但不排除未来瞄准新冠肺炎爆发严重地区的可能。
门槛走低恐殃及全球金融业