2018資安事件回顧:偏愛假冒宅配公司,超過 30 萬用戶受害的 Android 惡意程式家族:XLoader 和 FakeSpy

XLoader 和 FakeSpy 是最近崛起的兩個最重要的行動惡意程式家族。我們在 2018 年 4 月即探討過 XLoader,該惡意程式會利用 DNS 快取汙染與 DNS 假冒等技巧來讓讓受害者感染惡意 Android 應用程式,進而竊取個人身分識別資訊 (PII) 和金融相關資料,並且安裝額外的應用程式。同時,我們也在 6 月發表過針對 FakeSpy 的研究發現,此惡意程式會經由網路釣魚簡訊 (SMiShing) 來感染 Android(安卓) 裝置,同樣也會竊取使用者資訊。

截至 10 月為止,全球加起來總共約有 384,748 名 XLoader 和 FakeSpy 受害者,主要分布在南韓和日本。

Figure 1. Monthly infection count for XLoader and FakeSpy attacks this year

圖 1:今年 XLoader 和 FakeSpy 每月感染數量。

我們一開始在發表 XLoader 和 FakeSpy 的相關報告時,並未發現兩者之間有任何關連。然而,隨著我們的最新研究出現,這兩項攻擊背後很可能是同一犯罪集團、或是兩個關係密切的犯罪集團所為。

XLoader 和 FakeSpy 假冒日本某知名宅配公司的應用程式

XLoader 和 FakeSpy 兩者之間有所關聯的第一個線索就是,XLoader 曾在今年 6 月假冒日本某大型宅配公司的應用程式。有趣的是,幾乎所有的 FakeSpy 變種同樣都是假冒這家宅配公司的應用程式來竊取使用者資訊。

在深入追查 XLoader 和 FakeSpy 的活動之後,我們發現它們都是利用同一個管道來散布惡意程式。 趨勢科技 在 7 月時曾利用 VirusTotal 網站來搜尋某個 XLoader 的樣本 (雜湊碼:bf0ad39d8a19b9bc385fb629e3227dec4012e1f5a316e8a30c932202624e8e0e),並發現該樣本是從某個假冒前述宅配公司的網域所下載而來。一個月之後,當我們在分析某個 FakeSpy 的樣本時 (雜湊碼:ba5b85a4dd70b96f4a43bda5eb66e546facc4e3523f78a91fc01c768c6de5c24),我們發現此樣本也是從同一個惡意網域所下載。

Figure 2. VirusTotal showing details of an XLoader sample coming from domain of a Japanese home delivery service company

圖 2:VirusTotal 的詳細資料顯示 XLoader 樣本來在前述網域。

Figure 3. A FakeSpy sample was found to have been downloaded from the same domain

圖 3:FakeSpy 樣本也是從同一個網域所下載。

另有多個 XLoader 和 FakeSpy 樣本也出現同樣的結果。截至本文撰稿為止,我們已發現 126 個 XLoader 和 FakeSpy 共同用來散布惡意程式的網域 (完整的入侵指標 IoC 清單請參閱該份研究報告)。

此外,我們從 XLoader 和 FakeSpy 隱藏幕後操縱 (C&C) 通訊位址的手法上也發現一些相似之處。兩者的某些變種皆會利用社群媒體的個人資料檔案來隱藏真正的 C&C 位址。

Figure 4. XLoader hiding its real C&C address in a social media user profile. Note: Through active cooperation with vendors that own the involved domains mentioned in this research, the user profile pages and accounts have been blocked.

圖 4:XLoader 將真正的 C &C 位址暗藏在某個社群媒體使用者個人檔案當中。註:我們已主動和本研究中相關惡意網域所屬的廠商聯絡,使得這些個人檔案和帳號皆已遭鎖。

Figure 5. The IP address is written on social media profiles, always starting with ^^ and ends with $$. When the app is launched, it will access the page and parse contents to get the real C&C address.

圖 5:IP 位址是記錄在社群媒體個人檔案當中,並以「^^」為開頭、「$$」為結尾。當應用程式啟動時,就會存取該網頁並解析其內容來取得真正的 C &C 位址。


與中國網路犯罪集團「延邊幫」(Yanbian Gang) 的關聯

在分析過 XLoader 和 FakeSpy 程式碼結構和行為之後,我們推測後者的樣本與中國網路犯罪集團「延邊幫」(Yanbian Gang) 有所關聯,該集團專門竊取南韓銀行客戶帳上的存款。

除了 FakeSpy 和延邊幫的應用程式都是攻擊日本與南韓網路銀行的客戶之外,我們也發現兩者使用的惡意程式當中含有類似的程式碼:

Figure 6. Code from a Yanbian Gang app

圖 6:延邊幫應用程式當中的程式碼。

Figure 7. Code from a FakeSpy app

圖 7:FakeSpy 應用程式當中的程式碼。

Figure 8. The malicious app from the Yanbian Gang \(top\) and a FakeSpy sample \(bottom\) share similar metadata containing the infected devices’ information and C&C server path.

圖 8:延邊幫 (上) 和 FakeSpy (下) 的應用程式樣本當中都有類似的基本資料記載著受感染裝置的資訊和 C &C 伺服器路徑。

根據 WHOIS 查詢的結果顯示,註冊 FakeSpy 和 XLoader 惡意網域給假冒日本宅配公司的應用程式使用的註冊人皆來自中國。註冊人的電話號碼也都位於中國吉林省,而這正是延邊幫成員所在的地點。

根據我們研究所蒐集到的所有資訊來判斷,我們推測延邊幫可能與 FakeSpy 和 XLoader 有所關聯。當然,也有可能是兩個不同的犯罪集團剛好使用相同的幕後服務或基礎架構。但不管怎樣,就 XLoader 和 FakeSpy 目前氾濫的情況來看,使用者最好還是養成良好的行動裝置使用習慣

如需更多有關 XLoader 和 FakeSpy 惡意程式行為、攻擊目標、幕後基礎架構、攻擊管道以及近年來如何演變的相關資訊,請參閱我們的研究報告「 XLoader 和 FakeSpy 演變過程:兩個關係密切的 Android 惡意程式家族」(The Evolution of XLoader and FakeSpy: Two Interconnected Android Malware Families)。

原文出處:A Look into the Connection Between XLoader and FakeSpy, and Their Possible Ties With the Yanbian Gang 作者 :Lorin Wu Ecular Xu


《延伸閱讀 》

Android簡訊釣魚病毒: FakeSpy竊取簡訊、帳號資料、聯絡人和通話記錄,還會散播銀行木馬

手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密

Google Play出現假銀行應用程式,進行簡訊釣魚(SMiShing)詐騙

中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元
你的手機定位服務一直開著嗎?10 個保護行動設備的方法


PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 >>即刻免費下載試用

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

" alt="" />

*《提醒》將滑鼠游標移動到粉絲頁右上方的 *「已說讚」 欄位,勾選 「搶先看」 選項 , 最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼
*
*好友人數