Anubis银行木马仿冒抖音国际版攻击活动披露

概述

Anubis(阿努比斯)是一种主要活动在欧美等地的Android银行木马，其攻击手法主要通过伪装成金融应用、聊天应用、手机游戏、购物应用、软件更新、邮件应用、浏览器应用等一些主流的APP及用户较多的APP进行植入。Anubis自爆发以来，已经席卷全球100多个国家，为300多家金融机构带来了相当大的麻烦。

近期奇安信病毒响应中心，捕获到一款仿冒为抖音国际版“TikTok”的恶意软件，经过分析发现该恶意软件为Anubis木马变种。抖音在国内拥有广大的用户群，甚至可以说异常火爆，对于国内用户来说并不陌生，仅应用宝平台，抖音下载量就达到了5.5亿次，抖音国际版“TikTok”在国外也同样火爆，在国际市场也拥有广大的用户。

应用宝抖音下载量：

图片.png

Google Play抖音相关软件及下载情况：

图片.png

此次Anubis通过仿冒国际版抖音“TikTok”传播，就是看到了“TikTok”的用户量。虽然被仿冒的为国际版抖音“TikTok” ，但因为各种原因此应用还会被国内用户尝试安装使用，奇安信病毒响应中心移动安全团队通过数据分析确实发现了基于这个渠道导致Anubis木马感染的部分国内用户。

样本分析

Anubis银行木马虽然仿冒的种类繁多，但其核心代码结构并未有较大的改变。Anubis代码核心以远控为主体，钓鱼、勒索等其它功能为辅，目的则为获取用户关键信息，窃取用户财产。

此次发现的仿冒“TikTok”的Anubis木马，其在功能上做了一些改变，并根据实际的需求，增加及优化了一些功能。

仿冒“TikTok”的运行界面：

图片.png

通过拼接URL下发远控指令：

图片.png

远控指令片段：

图片.png

主要远控指令与指令对应功能：

主要远控指令	指令对应的功能
state1letsgotxt	设置
ALLSETTINGSGO	配置相关信息
Send_GO_SMS	发送短信
nymBePsG0	获取手机通讯录
GetSWSGO	获取手机短信
\|telbookgotext=	获取手机通讯录
getapps	获取已安装APP
getpermissions	获取响应的权限
startaccessibility	申请可访问性
startpermission	启动权限
=ALERT\|	设置警报
=PUSH\|	打开钓鱼页面
startAutoPush	根据不同国家，弹出不同钓鱼信息
RequestPermissionInj	请求注入权限
RequestPermissionGPS	获取地理位置
\|ussd=	向指定号码打电话
\|sockshost=	连接服务器
stopsocks5	Stop socks
\|recordsound=	录音
\|replaceurl=	替换URL
\|startapplication=	启动应用程序
killBot	杀死进程
getkeylogger	获取键盘记录
\|startrat=	获取新操作指令
	opendir:	列出所有文件
	downloadfile:	下载文件
	deletefilefolder:	删除文件
	startscreenVNC	开启远控
	stopscreenVNC	关闭远控
	startsound	开始录音
	startforegroundsound	开启前景声音
	stopsound	关闭录音
startforward=	开启呼叫转移
stopforward	关闭呼叫转移
\|openbrowser=	打开浏览器
\|openactivity=	打开URL
\|cryptokey=	加密文件
\|decryptokey=	解密文件
getIP	获取用户IP地址