Android银行木马(Customer Support)分析与防护指南

Android银行木马(Customer Support)分析与防护指南 一、样本基本信息 | 项目 | 描述 | |------|------| | 应用名称 | Customer Support | | 包名 | com.bank.customersupport | | 文件类型 | APK | | 文件大小 | 5.9 MB | | MD5 | ad4f0044d5d9194e6cf46601adb8802b | | 证书MD5 | 0e40ef31babffc4fd9b2b142c0e198a3 | | 病毒家族 | mywork | | 检测率 | 19/64 (VirusTotal) | | 发布时间 | 2024年4月10日(根据证书生成时间推断) | 二、恶意行为分析 1. 短信窃取功能 短信拦截机制 ： 注册广播接收器监听收到的短信 通过HTTP请求获取目标电话号码： https://forwarding.live/api/site/number?site=customer-support10 将拦截的短信内容通过短信方式发送到指定号码 数据传输方式 ： 通过HTTP通道将拦截的短信数据发送到C2服务器 使用日志TAG"mywork"作为该恶意软件家族的特征标识 2. 其他潜在恶意行为 被多个杀毒引擎标记为银行木马(Banker) 可能具备其他银行木马常见功能，如： 覆盖攻击(Overlay Attack) 键盘记录 远程控制 三、威胁溯源 通过C2地址关联分析发现多款相关恶意软件 该家族最早样本证书生成时间为2024年3月19日 推断mywork家族自2024年3月20日开始传播 四、检测与防护措施 1. 检测方法 静态检测 ： 检查应用是否包含上述包名或证书MD5 查找代码中是否包含"mywork"日志标签 检查是否请求 forwarding.live 相关域名 动态检测 ： 监控短信广播接收器的注册行为 检测异常短信发送行为 监控可疑HTTP请求 2. 防护建议 应用下载 ： 优先使用官方应用商店(但仍需保持警惕) 避免使用小众或新上线不久的应用 从知名厂商官网直接下载应用 设备安全 ： 安装并更新可靠的移动安全软件 定期检查设备上的应用列表 关注安全厂商发布的安全通告 应急响应 ： 发现可疑应用立即卸载 如已感染，联系专业安全人员处理 考虑恢复出厂设置以彻底清除 五、IoC(失陷指标) 域名 ： forwarding.live 网络请求 ： https://forwarding.live/api/site/number?site=customer-support10 代码特征 ： "mywork"日志标签 六、技术分析要点 短信窃取实现 ： 通过注册 BroadcastReceiver 监听 android.provider.Telephony.SMS_RECEIVED 广播 使用 SmsManager 发送窃取的短信内容到攻击者控制的号码 C2通信 ： 采用HTTPS协议进行通信，增加隐蔽性 动态获取目标号码，提高灵活性 持久化机制 ： 可能使用服务(Service)或定时任务保持长期运行 可能注册设备启动广播实现自启动 七、开发者防护建议 代码混淆 ：使用ProGuard等工具混淆代码，增加分析难度 HTTPS证书锁定 ：防止中间人攻击 运行时完整性检查 ：检测是否运行在模拟器或被调试 敏感权限最小化 ：仅申请必要的权限 八、普通用户防护清单 不安装来源不明的应用 定期检查应用权限设置 关注银行账户异常活动 启用双重身份验证 保持操作系统和安全软件更新