APT-KBuster仿冒韩国金融机构最新攻击活动追踪

疫情还未结束，欺诈者就已经蠢蠢欲动，年中时分，KBuster团伙再次发力，非法获取大量用户数据。

近期恒安嘉新暗影安全实验室通过APP全景态势与案件情报溯源挖掘系统，发现KBuster组织针对韩国地区进行的仿冒金融机构的最新钓鱼活动，此次攻击活动从2019年12月开始持续到2020年8月，攻击者可能来自荷兰。该组织会利用xampp框架搭建钓鱼网站向外传播仿冒APP。经分析发现该类软件具有信息窃取、远程控制和系统破坏的恶意行为。此次攻击活动利用的样本，包名具有明显的相似性；窃取用户信息时，利用FileZilla生成FTP服务器,用于接收用户信息，服务器上绑定有大量的连续ip地址，形成ip地址池，推测用于链接防封，从而稳定地获取用户信息，使用了如此多的网络基础资源，也从侧面印证了该组织财力可观。

1. 程序运行流程图

恶意程序运行主要分为两大功能，第一种功能会仿冒金融结构，诱导用户填写个人信息，利用提示信息诱骗用户拨打电话联系咨询员，并自动监听手机通话状态，利用黑名单来自动挂断指定号码；第二种功能会获取个人敏感信息，包括用户通讯录、短信、通话记录等个人信息上传到指定服务器，还会获取用户保存在SD卡上的各种文件（如doc、xlsx、pdf等），并且有意识的收集韩国本土办公软件的文件（如hwp类型）；该软件还留有远控模块，方便日后升级与持续获取信息。

图1-1 程序运行流程图

此次活动，利用的样本包名相似度极高，具有一定的命名规律，都会包含要仿冒的金融机构的缩写和一串数字组成：

图2-1 包名对比

2. 样本基本信息

本次以“현대캐피탈”软件为例进行分析。

程序名称	현대캐피탈
程序包名	com.hd7202008056.activity1
程序MD5	1D937D1E0E95B3258B309EF35CC61F3E
签名信息	[email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
签名MD5	8DDB342F2DA5408402D7568AF21E29F9
图标

3. 技术原理分析

3.1 仿冒金融机构

仿冒金融机构的应用图标。

图2-2 仿冒金融机构的应用图标（部分展示））

程序启动后加载本身携带的仿冒界面：

图2-3 加载的仿冒页面

3.2 程序恶意行为

（1）忽略电池优化，保障应用在后台正常运行。

图2-4 忽略电池优化

（2）设置主要服务开机自启，用于进程保活：

图2-5 服务自启

（3）获取手机号码等固件信息经过BASE64加密后进行上传：

图2-6 上传基本信息

（4）获取已安装应用列表进行上传：

图2-6 上传应用列表

（5）监听通话状态，通过黑名单挂断指定电话：

图2-7 挂断指定电话

（6）对外呼电话进行录音并保存本地，等待上传：

图2-8 通话录音

（7）程序留有远控模块，方便后期更新和持续获取信息：

图2-9 解析指令

指令列表：

服务器	远控指令	对应操作
http://110.173.***.10:3500/socket.io	update	安装升级包
	x0000mc sec	设置时间，定时录音并上传，然后删除录音文件
	order_x0000lm	上传地理位置信息
	order_x0000cn	上传通讯录
	order_liveSM	上传短信
	liveCallHistory	上传通话记录
	addContact	插入通讯录联系人
	deleteContact	删除指定通讯录联系人
	order_getAppList	上传应用列表
	permission	请求通讯录、监听短信、读取通话日志、获取精准位置、录音等权限
	serverRestart	重启SmartService
	file extra=del	删除指定文件
	file extra=all	上传指定类型的所有文件到ftp服务器
	file extra=up	获取文件
	file extra=ls	获取指定文件列表
	file extra=dl	上传指定文件

3.3 上传用户个人信息

（1）程序通过FTP服务器，将获取的用户短信、通讯录、通话记录、录音文件加密后进行上传。

图2-10 获取短信

图2-11 获取通讯录

图2-12 获取通话记录

图2-13 进行上传

（2）该程序包含有三个专门用于接收个人隐私信息的FTP服务器地址，服务器上包含有大量用户数据，根据上传日期判断，最早在2020年5月开始进行收集用户数据。

图2-14 上传的用户数据

图2-15 数据解密

3.4 上传SD卡信息

（1）程序会在SD卡中搜索hwp、doc、docx、dwg、xls、xlsx、ppt、pptx、pdf、eml、msg、email、rar、zip、egg、7z、alz、iso格式的文件进行上传。

图2-16 获取的文件类型

（2）该程序有一个专门用于接收用户文件的FTP服务器:

图2-17 上传的用户文件（包含doc、xlsx、pdf、hwp等文件）

图2-18 FTP通信

4. 服务器溯源

（1）该软件使用的服务器，ip归属地为香港，端口采用3500，首次访问会要求使用websocket协议进行连接。

url：http://110.173.***.10:3500/socket.io

ip地址：110.173.***.10

图3-1 ip归属地

5. 样本信息

MD5	包名
D391AF6A1DA2A0BBCCFD74FB3773572FC1F564BB	com.hd7202008056.activity1
77F4488E0BB62AAC51A59DF7c4C2A74C6F56FE26	com.aju1202008103.activity1
C1456AE93EE7D80A4873F39A71360E51A59A2F12	com.dws1202008116.activity1
8D517CFE95184B943DC16D3C6A0E4F72B3217EB7	com.hn15202008116.activity1
95A8188E38619D1CE60A7E778C7A3A53CA19D71C	com.hd7202008116.activity1
09AFAEF467F2C01F65BF3FA2FFBB5FC7B80B6359	com.jb4202008116.activity1
F08844E8CDB9B738CBE5722DC60054978871D256	com.jtc1202008116.activity1
F3F720E673DAF2301361D5A81B564D24DC5C5443	com.kb38202008116.activity1
995EEEBA1D4A9DB38E5D7313481BAA9DD1FC9EFE	com.kbc9202008116.activity1
C9DBC9A26363C1D279138AD61A09B13D2E8E655F	com.kbs15202006053.activity
2028D6BEF399025588D326D9DB400A542FFCBB1F	com.nh1202008116.activity1
B12C3BB2E5B0B281F1E9B229FAA8A7F95CBF908E	com.ok10202008116.activity1
389A28F63F8F5EC58C5EAFCD218AF5F6C3D5801D	com.sbi3202008116.activity1
2ED81CBF395F20BEA5139C33A67602CB2B5C36F1	com.shs12202008116.activity1

URL
http://110.173.***.10:3500/socket.io
http://148.66.***.202:3500/socket.io
http://112.121.***.146:3500/socket.io
http://112.121.***.178:3500/socket.io
http://112.121.***.194:3500/socket.io
http://216.118.***.250:3500/socket.io

6. 安全建议

• 让你的设备保持最新，最好将它们设置为自动补丁和更新，这样即使你不是最熟悉安全的用户，你也能得到保护。

• 坚持去正规应用商店下载软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号，获取最新实时移动安全状态，避免给您造成损失和危害。

• 安装好杀毒软件，能有效的识别已知的病毒。