揭秘移动银行和支付黑产 DarkMobileBank 陈家林 安天实验室武汉移动安全公司副总经理 目录 • • • • • DARKMOBILEBANK研究背景介绍 黑产攻击链条 黑产行动战术和技术分析 攻击活跃行为的数据分析 一点延伸，黑产花样百出 DarkMobileBank 研究背景介绍 我们看到的黑产冰山一角 2013 ~ 2016累计估计 超100万的用 户存在遭受验 证绕过的危险 超1亿电话号 码信息泄露 超2亿条包含用户 隐私的短信泄露 2016 Q1累计估计 超10万用 超10亿的 户信息被 资金有被 泄露 窃取风险 短信拦截马活 跃度环比上涨 300% 此次研究的初心 探索在各关联方形成解决方案的闭环 职能部门，运营商 • 威胁渠道检测 • 威胁渠道阻断 银行，金融公司 • 战术，战略，落 地支撑 • 联合防御和处置 安全公司 • 检测和防御能力 • 攻击者回溯分析 • 攻击链打击 • 受害者画像，缓 解措施 DarkMobileBank的由来 拦截马的受害者设备不仅成为被攻 击者控制的移动僵尸网络，更成为 天然提款机，如同攻击者拥有的私 有银行一般，因此我们对整个黑产 和威胁用代号名称 DarkMobileBank来命名。 黑产攻击链条及技术分析 移动威胁攻击链 跟传统网络安全攻击链对比 Recon Recon Weaponi ze Delivery Weaponize Exploit Delivery Installati on Attack C2 Action C2Obj 移动威胁攻击链 – 总体威胁图 移动威胁攻击链 攻击链各阶段主要战术和技术手法 Recon Weaponize • 物料准备 • 制作木马 • 经验传授 • 精细分工 Delivery C2Obj • 伪装正常应用 • 短信，网络远控 • 钓鱼网站 • 诱导用户安装 • 隐身，防卸载 • 注册大量域名 • 诱导用户授权 • 隐私数据贩卖 • 注册邮箱 • 手机号 • 伪基站 Attack • 精准攻击 移动威胁攻击链 受害者资产分类 通讯录 资金，第 三方账号 环境或通 余额/积 话录音 分 受害者 资产分 姓名 证件号码 银行卡号 密码 CVV码 手机号码 个人敏感 类 历史短信 信息 实时拦截 短信 黑产行动战术和技术分析 黑产行动战术和技术分析 钓鱼伪装和仿冒技术 • 伪装成银行类名称或图标 • 短信伪装 • 钓鱼网站 黑产行动战术和技术分析 APP名称仿冒 直接盗用 以升级，插件，控件等 衍生名 加入特殊符号 加上版本号 恶搞 • 中国银行 • 支付宝 • 建行升级系统 • 交通银行大学生版 • 支付宝安全控件 • Alipay 支付宝 • 招商银行丨招商银行·因您而变 • 支付宝钱包8.3安卓版 • 农行建行数据采集4.0 • 余鹅宝 • 健设银行 黑产行动战术和技术分析 APP图标仿冒 • 直接盗用原图 • 直接对原始图标截图 • 颜色变化 • 加入角标 • 盗用后，加入其它信息 黑产行动战术和技术分析 – 各种奇技淫巧 回传短信内容置换隐秘，逃过运营商 电话劫持 – 篡改去掉号码 黑产行动战术和技术分析 – 各种奇技淫巧 模拟点击广告 黑产行动战术和技术分析 按照时间自动行为停止 主动筛选筛选高价值受害用户或侵害目标 黑产行动战术和技术分析 免杀 • 加固 • 隐藏图标 • 激活管理员防卸载 黑产行动战术和技术分析 二次贩卖和利用窃财通道价值变现