apkdownloadphp技巧_揭秘黑客是若何偷偷转掉落你银行卡里钱的

这些网络骗子们利用各种繁芜的社会工程技能，以网上银行用户为目标，盗取银行证书。
网络钓鱼是攻击者最常用的攻击手段之一。

然而，目前仅仅靠纯挚的网络钓鱼攻击并不敷以进行敲诈，大多数银行都已履行了双成分认证(2FA)，来防止未经认证的登录和转账。
不过道高一尺魔高一丈，黑客组织每每研究的更加深入，他们开始千方百计的盗取OTP(一次性密码)来绕过2FA。

最近，在网络创造了一个类似的网络钓鱼活动，目标是某国际大银行。
这一活动背后的黑客组织从钓鱼攻击开始，然后诱骗用户安装恶意的Android软件，试图从受传染的设备中自动获取OTP。

这个最近被识别出的钓鱼网站模拟成该国际大银行，通过对每笔交易供应较低的费率，诱使受害者提交银行凭据。
下面是这些利用网络钓鱼攻击来获取证书和OTP的恶意网站。

•hxxps://formullir-tarlf[.]com/NAS_BRI_TARIF_UPDATE9999

• hxxps://britarif[.]ftml.my.id

• hxxps://layanan[.]sch.id

• hxxps://perubahan.tarif-layananbri[.]my.id

除了上述的钓鱼网站，还创造了其余8个与该黑客组织干系的钓鱼网站，通过这些网站可以下载SMS Stealer Android恶意软件，然后后会从受害者的设备上盗取OTP。

•hxxps: / / skematrf-login [] apk-ind.com

•hxxps: / / brimo-login-id.apk-ind。
com

•hxxps: / / brimo-login-ind.apk-online。
com

•hxxps: / / login-bri-ib [] apk-ind.com

•hxxps: / / id-bri-login [] apk-online.com

•hxxps: / / id-login-brimo [] apk-ind.com

•hxxps: / / id-login-brimo [] apk-online.com

•hxxps: / / login-brimo-tarif。
com

所有这些恶意网站都利用相同的网络钓鱼技能来获取证书。
在一开始，恶意网站哀求用户选择收费选项、登录凭据和6位网络银行PIN，但不提示用户输入OTP，如下图所示

在提交登录凭据和密码后，钓鱼网站会提示受害者下载并安装APK文件以连续此过程。
一旦受害者点击“下载”按钮，恶意网站下载短信盗取APK，如下图所示

进一步的调查显示，钓鱼网站下载了两个不同的APK文件来盗取OTP。
黑客还试图利用SMSeye创建了一个定制的短信盗取程序，SMSeye是一个开源的android恶意软件，用于盗取OTP。
下面的技能剖析部分将阐明这两种SMS盗取器的详细剖析。

技能剖析：

定制短信盗取器的技能剖析

APK Metadata Information

• App Name: Brimo

• Package Name: com.ngscript.smstest

• SHA256 Hash: 75b0d191544f1e96f9bdec94df3556aa7db1808f0f2e194f6a882154857d0 384

恶意软件利用银行运用程序的图标诱骗用户并诱使受害者相信从恶意网站下载的运用程序是正常官方软件

该短信盗取程序通过钓鱼网站传播传染 hxxps://id-br -login[.]apk-online.com/download[.]php

安装后，恶意运用程序提示受害者付与SMS权限

然后将一个真正的BRI站点加载到WebView中，如下图所示。

同时，恶意软件在后台网络设备的基本信息，如设备名称、型号等，并将这些信息发送给命令掌握做事器

恶意软件在清单文件中注册了一个短信吸收器。
当被传染的设备收到短信时，恶意软件会网络收到的短信并将其发送到C&C做事器hxxps://ionicio[.]com

有趣的是，在另一个恶意软件的逆向剖析过程中，也创造了相同的C&C做事器，该活动安装了恶意的NPM模块，从嵌入在移动运用程序和网站中的表单中获取敏感数据。
这解释TA不仅依赖于网络钓鱼攻击，还会关注不同的平台进行其他恶意活动

SMSeye恶意软件剖析

APK Metadata Information

• App Name: BRImo• Package Name: abyssalarmy.smseye

• SHA256 Hash:a19429c1ef1184a59d9b9319947070239a50ad55a04edc1104adb2a6ae4803cb

恶意运用程序通过hxxps://skematrf-login[.]apk-ind.com/download.php钓鱼网站下载。
像短信盗取者一样，这个恶意的Android文件也利用该国际大银行的标志显示真实的网站加载到WebView。

恶意软件已经在清单文件中注册了“SmsEyeSmsListener”吸收器。
该吸收器将从受传染的设备吸收传入的短信，并将它们发送到黑客的bot 网络中。

查看代码中涌现的Kotlin文件的包名和引用，我们能够在GitHub上找到开源项目“Sms Eye”。
这个黑客很厚道的遵照了GitHub页面上提到的所有步骤，并在资产文件夹中更新了bot编号和主加载URL

“SMS Eye

”项目于2022年10月14日创建，用于监视传染设备发送的短信，并将其转发给指定的 bot网络。
虽然特工软件只有短信盗取功能，但利用它与繁芜的网络钓鱼技能，黑客可以实行敲诈交易

总结

最近在持续监测各种散布安卓恶意软件的网络钓鱼活动中创造不少类似的钓鱼攻击。
这类攻击常日从繁芜的网络钓鱼攻击开始，后来演化为利用各种恶意软件盗取敏感信息。

根据我们的研究，黑客只利用网络钓鱼技能来获取证书，随后开始分发短信盗取程序，从受传染的用户那里盗取OTP，用来绕过银行履行的2FA。

网络钓鱼页面会提示OTP可能存在非常来欺骗用户，因此我们疑惑黑客开始传播传染短信盗取程序，像其他网络钓鱼活动一样自动化的盗取OTP。

看看这个网络钓鱼活动的趋势，我们可以预期在未来几周会有更新的恶意软件，其他大的银行也会成为攻击目标。