您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

揭秘黑客是如何偷偷转掉你银行卡里钱的

时间:2022-11-25 09:14:14  来源:今日头条  作者:血超级厚的土豆

现在的网上银行很方便,你可以在手机App上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非法利益。

这些网络骗子们使用各种复杂的社会工程技术,以网上银行用户为目标,窃取银行证书。网络钓鱼是攻击者最常用的攻击手段之一。

然而,目前仅仅靠单纯的网络钓鱼攻击并不足以进行欺诈,大多数银行都已实施了双因素认证(2FA),来防止未经认证的登录和转账。不过道高一尺魔高一丈,黑客组织往往研究的更加深入,他们开始千方百计的窃取OTP(一次性密码)来绕过2FA。

最近,在网络发现了一个类似的网络钓鱼活动,目标是某国际大银行。这一活动背后的黑客组织从钓鱼攻击开始,然后诱骗用户安装恶意的Android软件,试图从受感染的设备中自动获取OTP。

这个最近被识别出的钓鱼网站模仿成该国际大银行,通过对每笔交易提供较低的费率,诱使受害者提交银行凭证。下面是这些使用网络钓鱼攻击来获取证书和OTP的恶意网站。

•hxxps://formullir-tarlf[.]com/NAS_BRI_TARIF_UPDATE9999

• hxxps://britarif[.]ftml.my.id

• hxxps://layanan[.]sch.id

• hxxps://perubahan.tarif-layananbri[.]my.id

 

除了上述的钓鱼网站,还发现了另外8个与该黑客组织相关的钓鱼网站,通过这些网站可以下载SMS Stealer Android恶意软件,然后后会从受害者的设备上窃取OTP。

•hxxps: / / skematrf-login [] apk-ind.com

•hxxps: / / brimo-login-id.apk-ind。com

•hxxps: / /
brimo-login-ind.apk-online。com

•hxxps: / / login-bri-ib [] apk-ind.com

•hxxps: / / id-bri-login [] apk-online.com

•hxxps: / / id-login-brimo [] apk-ind.com

•hxxps: / / id-login-brimo [] apk-online.com

•hxxps: / / login-brimo-tarif。com

所有这些恶意网站都使用相同的网络钓鱼技术来获取证书。在一开始,恶意网站要求用户选择收费选项、登录凭证和6位网络银行PIN,但不提示用户输入OTP,如下图所示

 

在提交登录凭据和密码后,钓鱼网站会提示受害者下载并安装APK文件以继续此过程。一旦受害者点击“下载”按钮,恶意网站下载短信窃取APK,如下图所示

 

进一步的调查显示,钓鱼网站下载了两个不同的APK文件来窃取OTP。黑客还试图使用SMSeye创建了一个定制的短信窃取程序,SMSeye是一个开源的android恶意软件,用于窃取OTP。下面的技术分析部分将解释这两种SMS窃取器的详细分析。

技术分析:

定制短信窃取器的技术分析

APK Metadata Information

• App Name: Brimo

• Package Name: com.ngscript.smstest

• SHA256 Hash: 75b0d191544f1e96f9bdec94df3556aa7db1808f0f2e194f6a882154857d0 384

 

 

恶意软件使用银行应用程序的图标诱骗用户并诱使受害者相信从恶意网站下载的应用程序是正常官方软件

该短信窃取程序通过钓鱼网站传播感染 hxxps://id-br -login[.]apk-online.com/download[.]php

安装后,恶意应用程序提示受害者授予SMS权限

然后将一个真正的BRI站点加载到WebView中,如下图所示。

 

 

同时,恶意软件在后台收集设备的基本信息,如设备名称、型号等,并将这些信息发送给命令控制服务器

 

 

恶意软件在清单文件中注册了一个短信接收器。当被感染的设备收到短信时,恶意软件会收集收到的短信并将其发送到C&C服务器hxxps://ionicio[.]com

有趣的是,在另一个恶意软件的逆向分析过程中,也发现了相同的C&C服务器,该活动安装了恶意的NPM模块,从嵌入在移动应用程序和网站中的表单中获取敏感数据。这说明TA不仅依赖于网络钓鱼攻击,还会关注不同的平台进行其他恶意活动

SMSeye恶意软件分析

APK Metadata Information

• App Name: BRImo
• Package Name: abyssalarmy.smseye

• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb

 

恶意应用程序通过hxxps://skematrf-login[.]apk-ind.com/download.php钓鱼网站下载。像短信窃取者一样,这个恶意的Android文件也使用该国际大银行的标志显示真实的网站加载到WebView。

恶意软件已经在清单文件中注册了“SmsEyeSmsListener”接收器。该接收器将从受感染的设备接收传入的短信,并将它们发送到黑客的bot 网络中。

 

查看代码中出现的Kotlin文件的包名和引用,我们能够在GitHub上找到开源项目“Sms Eye”。这个黑客很厚道的遵循了GitHub页面上提到的所有步骤,并在资产文件夹中更新了bot编号和主加载URL

 

 

 

“SMS Eye

 

”项目于2022年10月14日创建,用于监视感染设备发送的短信,并将其转发给指定的 bot网络。虽然间谍软件只有短信窃取功能,但使用它与复杂的网络钓鱼技术,黑客可以执行欺诈交易

总结

最近在持续监测各种散布安卓恶意软件的网络钓鱼活动中发现不少类似的钓鱼攻击。这类攻击通常从复杂的网络钓鱼攻击开始,后来演变为使用各种恶意软件窃取敏感信息。

根据我们的研究,黑客只使用网络钓鱼技术来获取证书,随后开始分发短信窃取程序,从受感染的用户那里窃取OTP,用来绕过银行实施的2FA。

网络钓鱼页面会提示OTP可能存在异常来欺骗用户,因此我们怀疑黑客开始传播感染短信窃取程序,像其他网络钓鱼活动一样自动化的窃取OTP。

看看这个网络钓鱼活动的趋势,我们可以预期在未来几周会有更新的恶意软件,其他大的银行也会成为攻击目标。



Tags:黑客   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
现在的网上银行很方便,你可以在手机APP上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非...【详细内容】
2022-11-25  Tags: 黑客  点击:(0)  评论:(0)  加入收藏
现在的网上银行很方便,你可以在手机APP上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非...【详细内容】
2022-11-25  Tags: 黑客  点击:(0)  评论:(0)  加入收藏
11月11日,在FTX宣布破产数小时后,FTX的APP在深夜遭到攻击,超过6亿美元从FTX的加密钱包中被盗走。随后,FTX官方确认它已被入侵,指示用户不要安装任何新升级并删除所有FTX应用程序。...【详细内容】
2022-11-15  Tags: 黑客  点击:(25)  评论:(0)  加入收藏
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  Tags: 黑客  点击:(21)  评论:(0)  加入收藏
初级栈溢出_A_初识数组越界今夜月明星稀 本想来点大道理申明下研究思路啥的,,但稍微调整一下讲课的顺序。从今天开始,将用3~4次给大家做一下栈溢出的扫盲。 栈溢出的文章网上还...【详细内容】
2022-11-10  Tags: 黑客  点击:(21)  评论:(0)  加入收藏
如果网站遭到黑客攻击,不要担心,您可以遵循以下提示:1.确认网站已被篡改攻击,尤其被上传了网站木马文件,一般被称为是Webshell。攻击者也有可能通过Webshell获得服务器的管理员...【详细内容】
2022-10-31  Tags: 黑客  点击:(2)  评论:(0)  加入收藏
如果网站遭到黑客攻击,不要担心,您可以遵循以下提示:1.确认网站已被篡改攻击,尤其被上传了网站木马文件,一般被称为是Webshell。攻击者也有可能通过Webshell获得服务器的管理员...【详细内容】
2022-10-31  Tags: 黑客  点击:(32)  评论:(0)  加入收藏
一个名为EvilProxy的反向代理网络钓鱼即服务(PaaS)平台近日兴风作浪,承诺可以窃取身份验证令牌,从而绕过苹果、谷歌、Facebook、微软、Twitter、GitHub、GoDaddy甚至PyPI上的多...【详细内容】
2022-10-27  Tags: 黑客  点击:(20)  评论:(0)  加入收藏
作者:Colin Wu转载自金色财经原文:《新型黑客手法:3Commas API KEY 泄露;在 FTX 等对敲盗币 全过程记录》21日一名杭州用户向吴说爆料:他的 FTX 账户在19日晚突然“疯狂”地进行...【详细内容】
2022-10-26  Tags: 黑客  点击:(26)  评论:(0)  加入收藏
由于网络犯罪仍然是去中心化金融(DeFi)领域的一个重要主题,最新的事件显示Moola Market被利用了超过840万美元。在一个令人惊讶的事件转变中,这些资金中的大多数后来被归还。首...【详细内容】
2022-10-20  Tags: 黑客  点击:(23)  评论:(0)  加入收藏
▌简易百科推荐
引言本文主要介绍“反射型dll注入”及“柔性加载”技术。反射型dll注入 为什么需要反射型dll注入常规的dll注入代码如下:iNt main(int argc, char *argv[]) { HANDLE process...【详细内容】
2022-11-26  KaliMa  今日头条  Tags:基础免杀   点击:(2)  评论:(0)  加入收藏
现在的网上银行很方便,你可以在手机APP上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非...【详细内容】
2022-11-25  血超级厚的土豆  今日头条  Tags:黑客   点击:(0)  评论:(0)  加入收藏
现在的网上银行很方便,你可以在手机APP上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非...【详细内容】
2022-11-25  血超级厚的土豆  今日头条  Tags:黑客   点击:(0)  评论:(0)  加入收藏
DNS是网络连接中的重要一环,它与路由系统共同组成互联网上的寻址系统,如果DNS遭遇故障,“导航系统”失效,网络连接就会出现无法触达或到达错误地址的情况。由于的DNS重要作用及...【详细内容】
2022-11-24  中科三方  搜狐号  Tags:DNS劫持   点击:(13)  评论:(0)  加入收藏
一个以前不为人知的APT(高级持续威胁)黑客组织被称为“Earth Longzhi”,目标是东亚、东南亚和乌克兰的组织。攻击者至少从 2020 年开始就一直活跃,他们使用定制版本的 Cobalt St...【详细内容】
2022-11-11  会杀毒的单反狗  今日头条  Tags:后门   点击:(21)  评论:(0)  加入收藏
SNMP 简单的网络管理协议 Simple Network Management Protocol 服务端口 UDP 161 / 162 管理信息数据库(MIB)是一个信息存储库,包含管理代理中的有关配置和性能的数据,按照...【详细内容】
2022-11-09  IT知识一享  今日头条  Tags:SNMP   点击:(23)  评论:(0)  加入收藏
探索 WebView2 应用程序以及如何将它们用于凭据和 Cookie 盗窃。介绍根据微软的说法,“Microsoft Edge WebView2控件允许您将Web技术(HTML,CSS和JavaScript)嵌入到本机应用程序...【详细内容】
2022-11-07  区块软件开发  今日头条  Tags:   点击:(34)  评论:(0)  加入收藏
一、实验项目名称Windows网络服务渗透测试实战-跨网段攻击二、实验目的及要求掌握对跨网段攻击的方法。熟悉Metasploit终端的使用方法。熟悉通过meterpreter进行后渗透操作...【详细内容】
2022-11-01  懒笑翻  CSDN  Tags:跨网段   点击:(28)  评论:(0)  加入收藏
一个名为EvilProxy的反向代理网络钓鱼即服务(PaaS)平台近日兴风作浪,承诺可以窃取身份验证令牌,从而绕过苹果、谷歌、Facebook、微软、Twitter、GitHub、GoDaddy甚至PyPI上的多...【详细内容】
2022-10-27  嘶吼RoarTalk     Tags:EvilProxy   点击:(20)  评论:(0)  加入收藏
大家好,这期电脑小课堂教大家一个非常实用的小命令,网络监听命令。或许大家对这个命令不是很了解,这个命令有什么作用?这个命令其实,就是来查看你的电脑有没有中后台木马,如果中了...【详细内容】
2022-10-26  CG电脑说  今日头条  Tags:木马   点击:(49)  评论:(0)  加入收藏
站内最新
站内热门
站内头条