手机银行木马新变种：Faketoken.q木马软件分析

来源：

https://securelist.com/booking-a-taxi-for-faketoken/81457/

Trojan-Banker.AndroidOS.Faketoken是一款手机勒索恶意软件，该恶意软件已经被被安全研究人员发现一年多的时间了。在最近一段时间，卡巴斯基实验室的安全专家们发现了Faketoken这个手机银行勒索木马的一个新变种，该勒索软件已经从一个只拦截用户使用设备的原始木马演变成了能够加密用户数据的恶意软件，而且创建该新变种恶意软件的组织还在继续升级恶意软件。截至目前，全球范围内遭受该恶意软件感染的地理区域在不断的扩大，用户数在不断的增加。在攻击操作中，该恶意软件会伪装成多种程序或游戏，包括Adobe Flash Player等一些知名的软件，窃取超过2,000种安卓金融应用的登陆凭证。在该恶意软件最新版本中，我们的安全研究人员发现该恶意软件的变种也会攻击道路交通安全主管局发布的预订出租车和交通票的应用程序。

不久之前，我们来自俄罗斯一家大型银行的安全研究人员检测到一个新的特洛伊木马样本Faketoken.q(样本MD5:CF401E5D21DE36FF583B416FA06231D5)，该木马样本中包含了许多新奇的功能，在此特别要感谢我的同事们，下面我将分阶段对我们捕获到的木马样本进行分析。

该恶意软件是如何传播的？

虽然我们还没有办法完全重新复盘导致这次木马感染的整个事件链，但从应用程序图标我我们得知，该恶意软件是通过SMS消息潜入到用户智能手机中去的，并提示用户去下载一些图片。

恶意软件的结构

基于我们的分析发现，我们捕获到的这款移动端木马软件主要由两部分组成：第一部分是一个使用了代码混淆技术处理后的dropper （依据：Trojan-Banker.AndroidOS.Fyec.az）：代码混淆操作通常在服务器端完成，用以抵抗安全软件的检测。乍一看，混淆后的代码其可读性是非常差的，在一定程度上会给分析带来一些挑战：

使用代码混淆技术已经是现在大多数恶意软件常用的做法，代码混淆能够很好的保护恶意软件免遭安全软件的检测，但是，我们的同事针对恶意软件代码混淆进行了深入了研究，并编写了一份使用起来特别棒的代码，该代码会对混淆的代码进行解密操作并启动恶意软件的第二部分。    

恶意软件的第二部分是一个带有DAT扩展名的文件，该文件中包含了恶意软件的主要功能。从下图可以看到数据都是加密的：

通过解密数据，我们可以获得一个相当清晰的代码：

木马启动后，该恶意软件首先会隐藏其应用图标，并开始默默的监视所有的呼叫和用户启动的任何应用程序。在接收到某个电话号码打来电话或者接收到用户拨打电话给某个电话号码后，恶意软件便开始记录会话，并在对话结束后不久将其记录的会话内容发送给攻击者。

Faketoken.q的作者保留了该恶意软件原来的“伪装”功能，并大大简化了它们。因此，木马可以伪装成多个银行和其他应用程序的图标，例如Android Pay，Google Play商店以及用于支付交通票和预订航班，酒店客房和出租车的应用程序，其代码实现如下图所示。

Faketoken.q木马软件会静默监控受感染用户手机中的应用程序，一旦用户启动一个该木马软件监控的应用程序后，它就会将用户手机上的的应用程序界面替换为一个假的界面，并提示受害者输入其银行卡数据。伪装操作会在很短的时间内完成，以致用户根本无法察觉，而且假界面的颜色和原始启动的应用程序的颜色一模一样。

值得注意的是，该恶意软件样本攻击的所有应用程序都支持绑定银行卡操作，由于某些应用软件的服务条款规定用户必须绑定银行卡才能使用该应用程序，并且数百万Android用户可能安装了这些应用程序，由此可见Faketoken造成的损害可能很大。

但是，可能会出现以下问题：如果欺诈者必须输入银行发送的短信验证码才能处理付款操作，那攻击者又该如何操作呢？ 通过下面这段代码片段我们可以发现，攻击者们可以通过窃取发送的SMS短信消息并将其转发到C&C服务器来成功完成此任务。

我们相信，目前我们所掌握的关于木马的代码块还是该恶意软件部分样本，由于“伪装”另一个应用程序的界面可能是一件比较复杂的事情，一旦与原始应用程序有差别可能就易于被受害者识别该应用程序是假的：

由于多界面功能是一个广泛应用于大量应用程序（窗口管理器，短信等）的功能，因此保护自己免受此类伪造的覆盖是相当复杂的，这也是应用程序能够被被攻击者利用的契机。

到目前为止，我们仍然没有检测到Faketoken样本大量攻击的行为，我们倾向于认为我们捕获到的样本只是该恶意软件的一个测试版本。根据受攻击的应用程序列表、俄罗斯的覆盖面以及俄语的代码我们可以推断出Faketoken.q恶意软件专注于攻击来自俄罗斯或者独立联邦国家的用户。

总结

Faketoken.q恶意软件还会利用自己的快捷方式替换社交媒体网络、即时通讯工具或者浏览器的快捷方式。基于我们的研究发现，最新的Faketoken手机银行木马变种比较有趣，因为有些最新的功能似乎给攻击者带来的优势并不是特别的明显。但是，这并不意味着我们不应当慎重处理这种威胁。这些变化可能表示网络攻击者正在为未来开发打基础，或者表明恶意软件在不断演化和创新。通过曝光这一威胁，我们能够消除它带来的威胁，帮助用户保护设备和数据安全。

因此，为了避免遭受Faketoken.q或者像Faketoken.q一样的恶意软件的攻击，我们强烈建议在Android设备上安装第三方安全软件，并采取以下措施保护自己的安全，抵御Faketoken木马和其他恶意软件威胁：

1. 确保对终端手机上的所有数据进行备份；

2. 当一款应用程序要求使用权限时，不要轻易同意这些权限—请仔细思考一下这些应用要求的是什么权限，以及为什么要获取这些权限；

3. 在所有的设备上安装反恶意软件解决方案，同时保持自己的操作系统和软件及时更新。