Anubis银行木马仿冒抖音国际版攻击活动披露

概述

Anubis(阿努比斯)是一种主要活动在欧美等地的Android银行木马，其攻击手法主要通过伪装成金融应用、聊天应用、手机游戏、购物应用、软件更新、邮件应用、浏览器应用等一些主流的APP及用户较多的APP进行植入。Anubis自爆发以来，已经席卷全球100多个国家，为300多家金融机构带来了相当大的麻烦。

近期奇安信病毒响应中心，捕获到一款仿冒为抖音国际版“TikTok”的恶意软件，经过分析发现该恶意软件为Anubis木马变种。抖音在国内拥有广大的用户群，甚至可以说异常火爆，对于国内用户来说并不陌生，仅应用宝平台，抖音下载量就达到了5.5亿次，抖音国际版“TikTok”在国外也同样火爆，在国际市场也拥有广大的用户。

应用宝抖音下载量：

Google Play抖音相关软件及下载情况：

此次Anubis通过仿冒国际版抖音“TikTok”传播，就是看到了“TikTok”的用户量。虽然被仿冒的为国际版抖音“TikTok” ，但因为各种原因此应用还会被国内用户尝试安装使用，奇安信病毒响应中心移动安全团队通过数据分析确实发现了基于这个渠道导致Anubis木马感染的部分国内用户。

样本分析

Anubis银行木马虽然仿冒的种类繁多，但其核心代码结构并未有较大的改变。Anubis代码核心以远控为主体，钓鱼、勒索等其它功能为辅，目的则为获取用户关键信息，窃取用户财产。

此次发现的仿冒“TikTok”的Anubis木马，其在功能上做了一些改变，并根据实际的需求，增加及优化了一些功能。

仿冒“TikTok”的运行界面：

通过拼接URL下发远控指令：

远控指令片段：

主要远控指令与指令对应功能：

主要远控指令指令对应的功能state1letsgotxt设置ALLSETTINGSGO配置相关信息Send_GO_SMS发送短信nymBePsG0获取手机通讯录GetSWSGO获取手机短信|telbookgotext=获取手机通讯录getapps获取已安装APPgetpermissions获取响应的权限startaccessibility申请可访问性startpermission启动权限=ALERT|设置警报=PUSH|打开钓鱼页面startAutoPush根据不同国家，弹出不同钓鱼信息RequestPermissionInj请求注入权限RequestPermissionGPS获取地理位置|ussd=向指定号码打电话|sockshost=连接服务器stopsocks5Stop socks|recordsound=录音|replaceurl=替换URL|startapplication=启动应用程序killBot杀死进程getkeylogger获取键盘记录|startrat=获取新操作指令opendir:列出所有文件downloadfile:下载文件deletefilefolder:删除文件startscreenVNC开启远控stopscreenVNC关闭远控startsound开始录音startforegroundsound开启前景声音stopsound关闭录音startforward=开启呼叫转移stopforward关闭呼叫转移|openbrowser=打开浏览器|openactivity=打开URL|cryptokey=加密文件|decryptokey=解密文件getIP获取用户IP地址

影响分析

通过木马下发指令及回传数据的域名：tratata.space，注册于2019年6月26日。基于奇安信威胁情报中心的数据，发现目前受害者大多均来自俄罗斯，国内也有用户中招。

同源分析

自Anubis爆发以来，我们一直对其进行着监控。我们发现近年来Anubis主要代码结构并没有经过大的改动，但每次新的变种都会在功能上有相应的改动，增加或者优化一些功能。其投递方式及仿冒的类型，一直是优先Google Play投放，仿冒当下流行的应用及金融应用。

Anubis代码结构演变：

经过了加固处理的代码结构：

此次仿冒抖音代码结构：

盘古团队的Janus移动安全威胁信息平台中发现如下仿冒的主要图标：

总结

Anubis银行木马主要市场原本在中国以外，但是随着国内网民对互联网技术的进一步熟悉尝试安装一些国外来源的应用，此次通过仿冒国际版抖音“TikTok”导致了部分国内用户受到了影响。

在此我们提醒广大用户，去正规的平台下载手机应用，将风险降到最低，从而可以防止用户个人信息、财产被盗的风险。奇安信病毒响应中心移动安全团队会保持对Anubis最新变种的跟踪，PC及移动终端安全产品支持对于此类威胁的及时查杀。

IOC

940F562DED0DD9C48235FB9EA738F405

http://tratata.space/private/checkPanel.php

http://tratata.space/private/settings.php

http://tratata.space/private/add_log.php

http://tratata.space/private/set_location.php

http://tratata.space/private/getSettingsAll.php

http://tratata.space/private/setAllSettings.php

http://tratata.space/private/getDataCJ.php

http://tratata.space/private/setDataCJ.php

http://tratata.space/private/add_inj.php

http://tratata.space/private/locker.php

http://tratata.space/private/datakeylogger.php

http://tratata.space/private/sound.php

http://tratata.space/private/playprot.php

http://tratata.space/private/spam.php

参考

https://ti.qianxin.com/blog/articles/anubis-android-bank-trojan-technical-analysis-and-recent-activities-summary/

欢迎登录安全客 - 有思想的安全新媒体www.anquanke.com/ 加入交流群814450983 获取更多最新资讯吧