您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

揭秘黑客是如何偷偷转掉你银行卡里钱的

时间:2022-11-25 09:14:14  来源:今日头条  作者:血超级厚的土豆

现在的网上银行很方便,你可以在手机App上随时访问你的银行账户,进行转账、支付账单、核实余额。与普通的网上银行客户一样,网络犯罪分子也通过各种诈骗手段从网上银行中牟取非法利益。

这些网络骗子们使用各种复杂的社会工程技术,以网上银行用户为目标,窃取银行证书。网络钓鱼是攻击者最常用的攻击手段之一。

然而,目前仅仅靠单纯的网络钓鱼攻击并不足以进行欺诈,大多数银行都已实施了双因素认证(2FA),来防止未经认证的登录和转账。不过道高一尺魔高一丈,黑客组织往往研究的更加深入,他们开始千方百计的窃取OTP(一次性密码)来绕过2FA。

最近,在网络发现了一个类似的网络钓鱼活动,目标是某国际大银行。这一活动背后的黑客组织从钓鱼攻击开始,然后诱骗用户安装恶意的Android软件,试图从受感染的设备中自动获取OTP。

这个最近被识别出的钓鱼网站模仿成该国际大银行,通过对每笔交易提供较低的费率,诱使受害者提交银行凭证。下面是这些使用网络钓鱼攻击来获取证书和OTP的恶意网站。

•hxxps://formullir-tarlf[.]com/NAS_BRI_TARIF_UPDATE9999

• hxxps://britarif[.]ftml.my.id

• hxxps://layanan[.]sch.id

• hxxps://perubahan.tarif-layananbri[.]my.id

 

除了上述的钓鱼网站,还发现了另外8个与该黑客组织相关的钓鱼网站,通过这些网站可以下载SMS Stealer Android恶意软件,然后后会从受害者的设备上窃取OTP。

•hxxps: / / skematrf-login [] apk-ind.com

•hxxps: / / brimo-login-id.apk-ind。com

•hxxps: / /
brimo-login-ind.apk-online。com

•hxxps: / / login-bri-ib [] apk-ind.com

•hxxps: / / id-bri-login [] apk-online.com

•hxxps: / / id-login-brimo [] apk-ind.com

•hxxps: / / id-login-brimo [] apk-online.com

•hxxps: / / login-brimo-tarif。com

所有这些恶意网站都使用相同的网络钓鱼技术来获取证书。在一开始,恶意网站要求用户选择收费选项、登录凭证和6位网络银行PIN,但不提示用户输入OTP,如下图所示

 

在提交登录凭据和密码后,钓鱼网站会提示受害者下载并安装APK文件以继续此过程。一旦受害者点击“下载”按钮,恶意网站下载短信窃取APK,如下图所示

 

进一步的调查显示,钓鱼网站下载了两个不同的APK文件来窃取OTP。黑客还试图使用SMSeye创建了一个定制的短信窃取程序,SMSeye是一个开源的android恶意软件,用于窃取OTP。下面的技术分析部分将解释这两种SMS窃取器的详细分析。

技术分析:

定制短信窃取器的技术分析

APK Metadata Information

• App Name: Brimo

• Package Name: com.ngscript.smstest

• SHA256 Hash: 75b0d191544f1e96f9bdec94df3556aa7db1808f0f2e194f6a882154857d0 384

 

 

恶意软件使用银行应用程序的图标诱骗用户并诱使受害者相信从恶意网站下载的应用程序是正常官方软件

该短信窃取程序通过钓鱼网站传播感染 hxxps://id-br -login[.]apk-online.com/download[.]php

安装后,恶意应用程序提示受害者授予SMS权限

然后将一个真正的BRI站点加载到WebView中,如下图所示。

 

 

同时,恶意软件在后台收集设备的基本信息,如设备名称、型号等,并将这些信息发送给命令控制服务器

 

 

恶意软件在清单文件中注册了一个短信接收器。当被感染的设备收到短信时,恶意软件会收集收到的短信并将其发送到C&C服务器hxxps://ionicio[.]com

有趣的是,在另一个恶意软件的逆向分析过程中,也发现了相同的C&C服务器,该活动安装了恶意的NPM模块,从嵌入在移动应用程序和网站中的表单中获取敏感数据。这说明TA不仅依赖于网络钓鱼攻击,还会关注不同的平台进行其他恶意活动

SMSeye恶意软件分析

APK Metadata Information

• App Name: BRImo
• Package Name: abyssalarmy.smseye

• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb

 

恶意应用程序通过hxxps://skematrf-login[.]apk-ind.com/download.php钓鱼网站下载。像短信窃取者一样,这个恶意的Android文件也使用该国际大银行的标志显示真实的网站加载到WebView。

恶意软件已经在清单文件中注册了“SmsEyeSmsListener”接收器。该接收器将从受感染的设备接收传入的短信,并将它们发送到黑客的bot 网络中。

 

查看代码中出现的Kotlin文件的包名和引用,我们能够在Github上找到开源项目“Sms Eye”。这个黑客很厚道的遵循了GitHub页面上提到的所有步骤,并在资产文件夹中更新了bot编号和主加载URL

 

 

 

“SMS Eye

 

”项目于2022年10月14日创建,用于监视感染设备发送的短信,并将其转发给指定的 bot网络。虽然间谍软件只有短信窃取功能,但使用它与复杂的网络钓鱼技术,黑客可以执行欺诈交易

总结

最近在持续监测各种散布安卓恶意软件的网络钓鱼活动中发现不少类似的钓鱼攻击。这类攻击通常从复杂的网络钓鱼攻击开始,后来演变为使用各种恶意软件窃取敏感信息。

根据我们的研究,黑客只使用网络钓鱼技术来获取证书,随后开始分发短信窃取程序,从受感染的用户那里窃取OTP,用来绕过银行实施的2FA。

网络钓鱼页面会提示OTP可能存在异常来欺骗用户,因此我们怀疑黑客开始传播感染短信窃取程序,像其他网络钓鱼活动一样自动化的窃取OTP。

看看这个网络钓鱼活动的趋势,我们可以预期在未来几周会有更新的恶意软件,其他大的银行也会成为攻击目标。



Tags:黑客   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10  Search: 黑客  点击:(3)  评论:(0)  加入收藏
如何使用免费网络安全工具Canary Tokens查明黑客何时访问了您的文件?
译者 | 布加迪审校 | 重楼担心您的个人文件被黑客窃取吗?Canary Tokens是一款免费且易于使用的工具,可以快速部署。如果黑客打开您的文件,它就会通知您。什么是Canary Tokens?Ca...【详细内容】
2024-03-26  Search: 黑客  点击:(13)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  Search: 黑客  点击:(55)  评论:(0)  加入收藏
黑客利用iOS系统中的三个零日漏洞在iPhone上安装间谍软件
2月7日,据谷歌威胁分析小组(TAG)发布的报告,黑客成功利用存在于苹果iOS系统中的三个零日漏洞,在iPhone上安装了由Variston开发的间谍软件。Variston是一家位于巴塞罗那的网络公司...【详细内容】
2024-02-07  Search: 黑客  点击:(58)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  Search: 黑客  点击:(50)  评论:(0)  加入收藏
守护手机安全:抵御黑客攻击的防御策略
在数字化时代,手机已经成为我们生活、工作和娱乐的核心工具。然而,随着手机功能的日益强大,黑客攻击的风险也随之增加。如何保护手机免受黑客攻击,确保个人信息安全,已成为我们必...【详细内容】
2024-01-31  Search: 黑客  点击:(42)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  Search: 黑客  点击:(83)  评论:(0)  加入收藏
 Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件
网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】
2024-01-19  Search: 黑客  点击:(76)  评论:(0)  加入收藏
DDoS为什么是黑客常用的攻击手段?
DDoS(分布式拒绝服务)攻击是一种常见的网络攻击方式,它可以导致目标服务器无法响应正常请求,甚至瘫痪。这种攻击通常是由黑客组织使用大量计算机进行协同操作,通过模拟大量真实用...【详细内容】
2024-01-17  Search: 黑客  点击:(58)  评论:(0)  加入收藏
黑客“假传圣旨”宣布比特币ETF获批,美国证交会主席紧急澄清!
一则对整个加密货币市场具有历史性意义的消息被证实为黑客“假传圣旨”。美东时间1月9日周二美股尾盘,美国证监会(SEC)在社交媒体X的官方账号公布,批准了所有比特币现货ETF在美...【详细内容】
2024-01-10  Search: 黑客  点击:(39)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(3)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(136)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(107)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(177)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(221)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条