小心!移动端数字钱包被攻击!

区块链安全 2年前 (2022) admin
588 0 0


你的数字钱包里吗?

最近我们发现部分人的数字钱包已经被盯上了!

小心!移动端数字钱包被攻击!

概述
小心!移动端数字钱包被攻击!

随着虚拟货币的兴起,从移动端交易应用到手机钱包应运而生。随着虚拟币的牛市行情,元宇宙概念的兴起助长了交易所和移动钱包的兴起。在暗中盯着这块蛋糕,通过发起各种网络攻击窃取财富的黑客,虚拟货币被盗信息屡见不鲜。

2022年8月,奇安信病毒响应中心移动安全团队在移动端高级威胁分析运营过程中,发现到一起针对移动加密货币钱包的恶意攻击活动。黑客通过伪造成近几年交易所钱包类最火的“imToken”钱包应用对目标用户发起钓鱼攻击。通过窃取用户的登录账号和Google二次验证码实现攻击。

威胁细节
小心!移动端数字钱包被攻击!

在日常运营中发现攻击团伙通过部署多个钓鱼网页,诱导受害者下载安装恶意应用。

小心!移动端数字钱包被攻击!


通过奇安信威胁情报中心的威胁情报平台(https://ti.qianxin.com/)追踪分析关联钓鱼网址,发现攻击者采用了多达38个钓鱼域名。

小心!移动端数字钱包被攻击!

样本分析
小心!移动端数字钱包被攻击!

通过分析可以得到当用户安装该钱包应用后,由于没有设置LUNCHER属性,导致不会在桌面显示应用图标。但应用通过过监听系统广播启动对应的服务。

小心!移动端数字钱包被攻击!

通过对比同家族样本发现该应用使用了一款通用RAT框架,但是其扩展了功能模块用于窃取用户邮箱账号和密码。通过自己构造Google和Facebook邮箱登录页面诱导用户登录:

小心!移动端数字钱包被攻击!

小心!移动端数字钱包被攻击!


小心!移动端数字钱包被攻击!

同时该RAT使用无障碍辅助窃取GoogleAuth 的验证码:

小心!移动端数字钱包被攻击!

最后上传窃取的数据到配置的C2服务器:

小心!移动端数字钱包被攻击!

威胁溯源
小心!移动端数字钱包被攻击!

通过分析上传窃取信息的代码解密得到上传服务器地址,通过对该服务器地址关联可以看到如图所示,与之关联的域名存在多个赌博网站。所以我们有理由怀疑发起这起攻击的黑产团伙同时也在从事博彩黑产。

小心!移动端数字钱包被攻击!

小心!移动端数字钱包被攻击!

安全建议
小心!移动端数字钱包被攻击!

近些年虚拟货币暴富的神话吸引了大量用户,而且因为虚拟货币的匿名性使其游离在法律的灰色地带,促涨了各种黑产团伙作案的野心。从区块链攻击到各种钓鱼攻击层出不穷。在此奇安信提醒用户加强个人安全防范意识,提高警惕。同时针对普通用户如何避免遭受移动端上的攻击,奇安信病毒响应中心移动安全团队提供以下防护建议:


01
在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在google play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。
02
移动设备及时在可信网络环境下进行安全更新,不要轻易使用外来的网络环境。
03

对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求

04

确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

附录1 奇安信病毒响应中心
小心!移动端数字钱包被攻击!

奇安信病毒响应中心是奇安信集团旗下的专业病毒鉴定及响应团队。中心以奇安信核心云平台为基础,拥有每日千万级样本检测及处置能力、每日亿级安全数据关联分析能力。结合多年反病毒核心安全技术、运营经验,基于集团自主研发的QOWL和QDE引擎,形成跨平台木马病毒查杀能力与漏洞修复能力,并且具有强大的大数据分析能力,可以实现全平台安全和防护预警能力。

奇安信病毒响应中心支撑奇安信全线安全产品的病毒检测,积极响应客户侧的安全反馈问题,可第一时间为客户排除疑难杂症。中心曾多次处置重大病毒传播事件,多次参与重大活动安全保障工作,受到客户的高度认可。


附录2 奇安信病毒响应中心移动安全团队
小心!移动端数字钱包被攻击!

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究,不仅可以为奇安信移动安全产品提供常见的移动端病毒木马查杀能力,也可以精准识别时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件,并支持对App的合规化安全检测。

团队创新研发的高价值移动端攻击发现流程,已成功捕获到国内外多起针对移动平台的重大攻击事件,并发布了多篇移动黑产报告,披露了多个通过移动平台发起攻击的APT组织及其活动。特别的,近两年来,团队首发披露了包括诺崇狮组织SilencerLion、利刃鹰组织BladeHawk、艾叶豹组织SnowLeopard和金刚象组织VajraEleph在内的多个全新的APT组织。团队的高级威胁的分析与追踪溯源能力在国内外均处于领先水平。


附录3 奇安信移动安全产品介绍
小心!移动端数字钱包被攻击!

奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信集团态势感知团队与奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品,主要面向具有监管责任的政企机构客户,着重于监测App的下载与使用环节,协助相关监管机构摸清辖区范围内App的使用情况,给客户提供App违法检测、合规性分析及App溯源等功能。

IOCs(线索)
小心!移动端数字钱包被攻击!

MD5

名称

da3d4a403b4d44aaa380c3ff37022ae5

imToken

C&C地址

用途

https://tb2.coinbis.xyz/

钓鱼地址

45.115.124.126:7771

C2地址

小心!移动端数字钱包被攻击!

原文始发于微信公众号(奇安信病毒响应中心):小心!移动端数字钱包被攻击!

版权声明:admin 发表于 2022年9月1日 上午8:31。
转载请注明:小心!移动端数字钱包被攻击! | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...