BianLian
O BianLian é um malware móvel que afeta usuários do Android. A versão mais recente é uma variante ofuscada da conhecida família de malware BianLian, descoberta em 2018. O BianLian foi inicialmente concebido como um downloader para outro malware, mas foi modificado para fornecer um código novo e corrompido que ataca os aplicativos bancários turcos.
Por Que o BianLian é Ameaçador
O malware BianLian funciona como a maioria dos outros malwares Android. Ele primeiro oculta o ícone do aplicativo e, em seguida, começa a incomodar o usuário para obter permissão para acessar os recursos necessários para atacar completamente o sistema. Verificou-se que o malware BianLian solicita permissão para usar os serviços de acessibilidade em algumas amostras.
Depois de adquirir as permissões necessárias, o malware BianLian lança todos os seus recursos. Eles permitem:
- Enviar e receber mensagens de texto.
- Dados da mensagem de log.
- Executar códigos USSD.
- Fazer chamadas.
- Bloquear a tela.
- Mostrar interfaces falsas para serviços bancários e outros aplicativos.
- Screencast (enviar uma gravação ou visualização ao vivo da tela para um servidor remoto).
- Socks5 (configurar um servidor SSH, difícil de detectar).
Ele também descarta um APK de carga útil. As versões anteriores conteriam o APK no APK de malware original de forma criptografada.
Versões Mais Recentes Baixam o APK de um Servidor CC
Nos dois casos, o APK implantado não é realmente um malware. É simplesmente uma ferramenta usada pelo malware para detectar o serviço Google Play Protect por meio da API do Google SafetyNet. A ferramenta é usada via reflexão Java pelo malware. O malware é desenvolvido e atualizado ativamente com novas funcionalidades. Não contém técnicas avançadas de análise analítica, mas é capaz de evitar métodos mais simples de detecção.
Detalhes técnicos
BianLian IoC: ac32dc236fea345d135bf1ff973900482cdfce489054760601170ef7feec458f
Carga útil APK IoC: 75e162dc291e15d13b0f3202a66e0c88ff2db09ec02922ee64818dbddcb78d6d
Servidores CC:
hxxps: // clube do tombaba [.]
hxxps: // tomcatdomains [.] página [.] link
Aplicativos visados
com.akbank.android.apps.akbank_direkt
com.albarakaapp
com.binance.dev
com.btcturk
com.denizbank.mobildeniz
com.finansbank.mobile.cepsube
com.garanti.cepsubesi
com.ingbanktr.ingmobil
com.kuveytturk.mobil
com.magiclick.odeabank
com.mobillium.papara
com.pozitron.iscep
com.teb
com.thanksmister.bitcoin.localtrader
com.tmobtech.halkbank
com.vakifbank.mobile
com.ykb.android
com.ziraat.ziraatmobil
finansbank.enpara
tr.com.hsbc.hsbcturkey
tr.com.sekerbilisim.mbank