腾讯移动安全实验室近日公布了“粗口木马”病毒的详情,这款网银恶意软件一度大幅肆虐中国用户,因其代码中含有粗话而得名。“粗口木马”曾感染了一大片在中国的安卓手机用户,窃取他们的敏感银行帐户和其它个人隐私信息。
与先期发现的网银木马病毒相仿,“粗口木马”能绕过双因子验证(2FA)的安全防护,然后盗取用户的个人信息。银行的手机网银应用一般是采用2FA来作为安全进入的保护,通过手机短信向用户发送一个一次性的密码,加上用户需要输入其自己拥有的密码,形成双重保障。“粗口木马”的犯罪分子向用户发送带有钓鱼网址的短信,取代原有的安卓短信应用,令双因子验证保护失效。
“粗口木马”采用两种方法作恶:
- 一旦用户在手机点开链接含有病毒的下载程序,就会立即激活“粗口木马”。
- 犯罪分子往往通过伪基站,伪装为运营商的客服号码,向用户发送带有钓鱼网址的短信。
利用伪基站发送虚假信息是十分狡猾的操作,此外,诈骗短信的内容极易令人入信,短信的内容诱导用户点击含有病毒的下载程序。在某些个案,诈骗短信的内容更加入情爱元素,引诱用户陷入圈套。
用户一旦安装了病毒程序,由于只需激活任务管理器、只需要锁定屏幕而并无其它应用权限控制,用户便完全放松警惕。安装完成后,该恶意软件便会自动发送钓鱼短信给受害者的联系人进一步散播。
“粗口木马”散播网络钓鱼骗局的手段五花八门:
- 工作文件:一条伪装来自用户经理的虚假短信,命令用户立即下载并且打开一个重要文件,以便回复他在文件中的批注。
- 照片或视频:这类虚假短信声称附有一幅某个纪念活动的图片,或者是用户配偶的外遇照片。
- 热点新闻:最近一个例子是伪装成彩信,内容声称是关于某个名人的妻子在偷情时被撞破的视频。
- 程序更新通知:一条声称来自银行或运营商的短信请求用户安装重要更新。
“粗口木马”不需要和远程命令和控制服务器沟通,它只需通过手机短信和邮件便可向攻击者发送数据,这种操作方式很好地掩饰了其通信及作恶的痕迹。
虽然腾讯的安全报告指出“粗口木马”的诈骗团伙已被警方拘捕,Check Point研究员检测到该恶意软件的作案活动。有鉴于此,现在落网的歹徒只是传播该恶意软件的庞大集团中的分子。
从2016年9月1日起,中国政府已强力推行所有手机号码的身份注册实名制。如果持有者没能在截止日期前向运营商提交真实身份信息,其手机号码将会被停用。这项新规定大幅度削弱了“粗口木马”利用虚假手机号码传播的能力。然而,该种恶意软件仍然可以通过电子邮件进行网络钓鱼。
在腾讯的报告中,指出“粗口木马”只利用了21cn.com的邮箱地址进行攻击。CheckPoint研究员现在却检测到,该恶意软件已使用其它热门的中国电邮服务供应商作恶,包括163.com,sina.cn和qq.com。
截至2017年3月,Check Point观察到“粗口木马”的变种仍在外猖狂,最新趋势是它们使用阿里云和其它邮件账号托管云服务,如qwewa.com和上海美橙科技信息发展有限公司等散播。当中有些邮箱地址还使用手机号码当作用户名,有鉴于邮箱地址的手机号码和短信中的真实手机号码不一致,我们据此推断“粗口木马”变体至少进行了两次改头换面。
过去在中国市场发现的很多移动设备恶意软件,例如HummingBad,是此等病毒的“前辈”,它们仍继续在全球范围内传播。“粗口木马”通过伪基站和自动钓鱼短信广泛散播。这些威胁都可能被西方的恶意软件所采用。公司或机构为防侵害,它们应该安装先进的解决方案,如Check Point提供的移动威胁防御解决方案。
原文发布时间为:2017年3月24日