介绍
阿努比斯(Anubis)是一种古埃及语言,原指埃及神话中与木乃伊化和来世有关的豺狼头死神; 然而,2017年之后,Anubis已经成为最流行的Android建行木马,并给全球超过300家金融机构造成了不小的麻烦。
2016年12月19日,一位名为maza-in的用户在exploit.in恶意软件开发者峰会上分享了一款新的Android CCB木马BankBot的源代码。 该木马可以发送和拦截短信并执行掩护攻击以窃取账本。
从2017年第四季度开始,maza-in向客户私下租用了功能更强大的CCB木马Anubis。 与原来的BankBot相比,该恶意软件功能得到了极大的改进,添加了现代主流覆盖技术、设备屏幕录制和流媒体、Web代理功能、键盘记录功能以及从受感染设备窃取文件的能力。
2018年12月13日,maza-in发布Anubis2.5版本,并声称已经构建了全部代码,但实际上只是重新设计了前端Web界面。
2019年1月16日,Anubis代码在地下峰会被盗(后端代码和未混淆的APK)。
2019年2月14日,首次检测到仅针对俄罗斯银行的Anubis样本,表明新运营商的出现。
2019年2月25日,地下峰会上出现了一些Anubis客户投诉,称maza-in和Anubis技术支持不再回复消息。
2019年3月4日,一位地下峰会的管理员爆料了Maza-in被释放的消息。 此后,多次峰会上都严格禁止使用 maza-in 账户。
2019年3月中旬,与maza-in相关的用户Aldesa在地下峰会上创建了一个帖子,出售所谓的Anubis 3恶意应用程序,但该帖子很快被峰会管理员删除。
此后,租赁版Anubis交行木马已经停止更新,但由于代码泄露,基于Anubis的交行木马攻击活动并没有消失,而是一直保持活跃。
发现
近日,Beacon Labs在日常分析中发现大量Anubis银行木马flash网站源码带后台,并发现多个产生Anubis银行木马的网站。 由开发商制作。 虽然网站的界面显示存在一些差异,但使用方法基本相同。 用户只需根据网站提示简单填写相关配置,即可制作属于自己的Anubis交行木马。 结合网上泄露的前端代码,可以成为Anubis的Operator。
网站提供了大量的图标进行伪装,预设的图标可以伪装成Flash播放器应用、系统工具应用、加密货币应用、图像处理应用、游戏等相关应用。 此外,网站还提供了使用自定义图标的功能,用户可以选择上传迷彩图标,这进一步减少了迷彩对象的多样性。
在剖析两个网站Anubis银行木马的制作过程中,发现采用了两种不同的制作方式。 其中一个网站使用了Anubis反编译的smali代码,另一个网站则直接使用了Anubis的源代码。 这意味着Anubis应用程序的源代码已被泄露。
受控源代码
通过分析网站上的Anubis应用源代码,我们发现代码结构清晰,注释完整。 下图是Anubis的配置相关代码。 尖括号内的字符串为配置项,与网站提供的选项一致。
恶意功能
从功能上来说,代码主要功能如下:
除了Anubis银行木马的功能代码外,网站上还发现了加固代码,可以简单地对Anubis交通银行木马进行防护并加壳。
控制终端源码
Anubis CCB木马控制端源码主要提供控制面板和钓鱼功能。 它的代码在2019年就被泄露了,并且有详细的教程。 任何人都可以使用该源代码创建Anubis CCB木马的后台系统,并基于该代码添加其他钓鱼页面。
在Anubis控制端源代码中,我们发现了大量金融应用图标以及对应的钓鱼网站源代码。 它涉及全球300多家金融机构。 下图为部分金融机构的应用图标。
经分析,这些金融机构主要分布在美洲、亚洲、北美洲20多个国家/地区。 下图为Anubis控制台代码中包含的钓鱼网站数量在不同地区的分布以及钓鱼网站最多的前10个国家/地区。
预先警告
自2020年1月以来,我们已经捕获了6000多个与阿努比斯家族相关的样本。 根据伪装的物体,我们结合Anubis广告标志,创建了如下的词云图。 可以发现,FlashPlayer出现频率最高,是伪装程度最高的Anubis CCB木马Object。
同时我们也注意到,随着去年新冠麻疹全球爆发,Anubis CCB木马运营商变得更加活跃,并开始借助新冠哮喘风暴进行传播。 在公开的信息中,我们发现存在多起通过代码托管服务平台Bitbucket传播的Anubis CCB木马伪装成新冠麻疹相关应用程序传播的案例,且仍处于测试阶段,表明该国家/地区阿努比斯未来将袭击可能是新冠麻疹疫情严重的地区。
总结
Anubis作为最流行的CCB木马之一,不仅功能强大,而且使用门槛相对较低。 利用公开的CCB木马制作网站并泄露源代码flash网站源码带后台,任何人都可以轻松成为Anubis CCB木马的操作者。 经过。 虽然目前已经发现了一些伪装成中国澳门金融行业相关应用的Anubis CCB木马和钓鱼页面,但随着Anubis应用源代码的泄露,该家族木马的制作门槛进一步提高减少,打击目标可能进一步转向外资金融业。 360信标实验室将持续关注Anubis CCB木马相关动态,各金融相关企业也需要做好自身APP防护工作,共同保护用户的财产安全。
