怪事年年有,今年特别多。恶意软件细节报道不准确,竟然还被找上门来要求改正了。听起来就跟开膛手杰克致电苏格兰场说:“喂,你们把我分析错了,我是如何如何肢解受害者”似的。太匪夷所思了。
恶意木马 Bilal Bot 作者责怪IBM安全人员把他的恶意软件信息公布错了,甚至主动提供了修订报道的服务。里莫·克塞姆,IBM安全专家,发言称自己接到了恶意软件作者的邮件联系。
克塞姆说:“为什么犯罪软件的开发者会联系世界最大安全厂商之一?当我得知他/她真的在要求我帮他/她更好地在我们的安全博客中凸显恶意软件,我都惊讶得不行不行的了。”
必须指出的是,IBM在4月就在官方博客网站上揭露过上述恶意软件的细节,指称该恶意软件是安卓银行木马,且在暗网论坛上出售。当时分发的,是该木马的贝塔版。
IBM的博客中说,该恶意软件是另一款功能强大的手机银行木马 GM Bot 的经济替代版。由于暗网封禁了恶名昭彰的银行木马 GM Bot 和 KNL Bot 的开发者,Bilal Bot 便成为一时之选,收获了恶意网络罪犯的极大注意。
说回实际的新闻,该恶意软件的开发者给克塞姆发了封邮件,表达了他对IBM描述该恶意软件的方式的不满。而且,这位开发者还对IBM没有贴出他恶意软件的更新信息大为光火。
克塞姆曝光了那封邮件的额外信息:
“那位作者想要告知我们,Bilal Bot 现在已经从β版升级了,增加了更多的功能,价钱也涨了。他对我们将之描述为低价软件很不高兴;对他而言,这里面包含了关于他产品的“错误信息”。令人惊讶的是,他毫不迟疑地联系了IBM安全员工要求修正这个错误!
IBM的安全员工立即针对邮件中列出的细节逐条检查了该恶意软件,验证那名开发者关于 Bilal Bot 的声明。然后,公司发现,该恶意软件确实进行了版本升级,新增了很多功能,比如电话转接、读取短信、渗漏短信、屏幕覆盖等等,功能已经十分完备了。
据IBM称,那名开发者还想添加Tor访问和垃圾短信功能。克塞姆解释道:
“像其他手机恶意软件一样,该木马的安卓应用安装包(APK)可捆绑其他程序,看起来更合法的App、木马化的游戏等等。基于其恶意机制和行为模式,Bilal Bot 被定性为覆盖型恶意软件。
IBM没有证据证明通过邮件联系了克塞姆的人就是该恶意软件的真正开发者。该公司坚持,尽管邮件发送者确实掌握了恶意软件的独家准确细节,但也有些问题暗示这是个骗局。比如说,邮件账户带了 .ru 的地址,暗示该开发者来自俄罗斯。然而,这个恶意软件是英文版的。另一个值得怀疑的点是,暗网销售网页上列出的开发者官方邮件账号,与发送邮件给IBM的不是同一个。
克塞姆指出:
“我们不能确定我收到的邮件确实来自于真正的恶意软件作者。即便如此,无论是谁发送了这封邮件,都有着强烈的更新我们博客上关于此恶意软件信息的动机。”
克塞姆进一步阐述称,Bilal Bot 作者联系IBM是因为他们将该恶意软件称作 GM Bot 的经济适用版。或许,高级版出来后,价格应该有所上涨,而由于IBM宣称这是低价货,开发者便因这肯定会拉低新版本在市场上的价格而非常不满。
本文转自d1net(转载)