安全路透社
当前位置:安全路透社 > 安全客 > 正文

【技术分享】Red Alert 2:不会用新技术的银行木马不是好程序

http://p7.qhimg.com/t01322bff150089e42d.png

简介


自上周开始,Android银行木马程序Red Alert 2受到了相当多的关注。引发广大吃瓜群众围观的原因可能大家已经知道了,这个木马程序的代码库看起来是全新的,而且木马的部分功能也很独特。PhishLabs情报分析研究部门(R.A.I.D)最近发现了一个Red Alert 2的新样本,这个样本与以前的样本相比,在策略、技术和程序上都有进行修改。那么我们在对这些变化分析之前,先对Red Alert 2的一些有趣的功能进行回顾。

旧物换新颜


Red Alert 2与现有Android银行木马在功能上有很多共同点。Red Alert 2在后台运行,监视应用程序的活动,当检测到目标相关的活动时,会在设备屏幕上覆盖钓鱼页面。除了之外,它还会窃取系统信息,窃取用户数据,包括联系人、短信、通话记录、窃听或拦截短信/通话,发送短信和USSD请求,以及启动其他应用程序。

图11 十六进制唯一ID

在最近的样本中,这个惟一标识符被修改为解码后为目标包名称的base64编码的字符串。在某些情况下,会请求第二个屏幕覆盖层,这个时候,唯一标识符是包名和数字2加在一起。这种新格式如图12所示。

http://p7.qhimg.com/t010d2c238beb81ee40.png

图12  新型base64编码的惟一ID

总结


虽然这些变化在本质上都不是特别大,但这也说明了Red Alert 2的幕后黑手一直在“积极”运作试图开发出更加“完美”的银行木马。其短期内更新的目标更是显示了快速扩展木马的能力。最终,我们希望Red Alert 2的开发者能够对木马进行更加良好的优化,以保持在日益饱和的移动银行木马市场上保持较高水平的态势。

最后,样本信息及样本分析可在Janus查看,点击这里。

或检索SHA256:05888c0f55d23c8c4f3b1ad0fe478c3d1610449f45abb9247f59563ac12ff82c


原文链接:https://info.phishlabs.com/blog/redalert2-mobile-banking-trojan-actively-updating-its-techniques

未经允许不得转载:安全路透社 » 【技术分享】Red Alert 2:不会用新技术的银行木马不是好程序

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册