作者:钱盾反诈实验室

0x1.木马介绍

近期,Client-SideDetection披露“LokiBot”木马,钱盾反诈实验室快速响应分析,发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能,可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代理和SSH隧道,进行企业内网数据渗透。

LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新,诱导用户安装。运行截图如下:




0x2.样本分析 

2.1恶意代码解析

LokiBot关键组件和代码块如下:



MainActivity:恶意代码执行入口。模拟器检查1、图标隐藏、引导激活设备管理、启动CommandServiceInjectProcess

BootReceiver组件,恶意代码执行入口。核心服务CommandService保活。

CommandService:核心服务,根据远程控制指令执行恶意代码。

InjectProcess:界面劫持服务。

Crypt模块:加密文件、锁定设备实施勒索。

Socks模块:实现Socks5协议和SSH隧道,使受控设备所在内网服务器和攻击者主机之间能进行流量转发。


2.2 远程控制

首先上传设备deviceId、锁屏状态、网络类型至控制端(**92500503912**:Loki:1:wifi)。控制端以用户deviceId作为肉鸡ID,并下发指令数据,触发恶意行为。指令包括:


指令

功能

Send_SMS

利用受害人身份给任意用户发送恶意短信

Send_USSD

拨打任意号码

Go_Contacts

上传设备联系人

Gethistori

上传浏览器历史记录

Start_AllApp

上传设备安装应用包名

Update Bots

更新LokiBot

Forward_call

设置呼叫转移

Go_Leading_request

WebView加载恶意网址

Go_Passwords

设置锁屏密码

DeleteApp

自身卸载,取消激活设备管理,触发勒索

Go_Smsmnd

设置默认短信应用

GetAllSms

获取用户短信记录

DellSms

删除最新一条短信

Send_spam

短信蠕虫,群发恶意内容给用户联系人

App_call

启动任意app

Shells

执行shell

Go_Crypt

锁定用户设备,并加密设备文件

Go_Scrynlock

锁定设备,使用户无法使用

startSocks

安装Socks5代理

Start_Inject

启动InjectProcess,执行银行应用劫持


LokiBot会根据采集到的用户数据,发起相应的攻击。攻击手段主要包括以下三种方式:

  1. 用户设备安装有银行或社交类app会发起应用劫持攻击;

  2. 用户网络环境属于某企业,会进行内网渗透;

  3. 直接发送DeleteAppGo_Crypt指令,实施勒索敲诈。


2.3 应用劫持

劫持过程与“BankBot”木马2相似,都是上传用户安装列表,在云端配置劫持界面,后台监视应用,一旦用户开启劫持列表内的应用,就弹出钓鱼界面覆盖真实应用,诱导用户输入账户和密码。由于此类木马生命周期短,“LokiBot”则采取主动发起应用劫持。方式包括:

  1. 通过远程指令启动待劫持应用;

  2. 主动弹出伪造的app Notification,一旦用户点击就弹出钓鱼界面



2.4内网渗透

若受控设备处于内网环境,“LokiBot”下发startSocks命令,建立Socks5代理和SSH安全隧道[3]