今年7月,Cybereason发布报告称一款名为FakeSpy的危险Android恶意软件重新出现。FakeSpy能够窃取用户的短信、银行信息和应用数据。通过研究发现FakeSpy旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等等。FakeSpy通过一条看似来自当地邮局的短信进行传播,并指示用户下载一款伪装成合法邮局应用的应用。目前FakeSpy的主要目标是美国和西欧的用户。
![]()
研究人员称,所有迹象都表明FakeSpy的幕后开发者是一个叫 "Roaming Mantis "的组织。再来说说FakeSpy通过短信的的传播方式:
- 向攻击目标发送一条声称来自当地邮局的短信,短信中声称邮局试图投递一个包裹,但由于用户不在家而无法投递;
- 短信提供了一个用户可以点击的链接,该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。
- 一旦用户将该程序安装在手机上,该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。
早在2018年,Roaming Mantis就通过Wi-Fi路由器感染过智能手机。当时Roaming Mantis开发的恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后,它将iOS设备重定向到钓鱼网站,并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它是通过DNS劫持的方式实现的,这使得目标用户难以发现某些问题。
近期又有研究人员发现了Roaming Mantis开发的新恶意软件——Wroba手机银行木马,且其攻击目标是美国人群。
据卡巴斯基的研究人员称,自周四开始,一波针对美国Android和iPhone用户的攻击就已经出现了。该攻击使用短信进行传播,以虚假的“包裹递送”通知作为诱饵。这与FakeSpy攻击的套路是一样的。
首先攻击者发送的短信内容中包含一个链接,内容为:“你的包裹已寄出,请检查并接受。
其次如果用户点击链接,则接下来的操作就取决于设备所使用的操作系统。点击会将Android用户带到一个恶意站点,该站点反过来向用户发出警报,指出该浏览器已过期并且需要更新。如果用户点击“确定”,接下来将开始下载带有恶意应用程序的木马浏览器程序包。
但据研究人员的分析,在Android系统中下载的Wroba,无法在iPhone上运行。而对于iOS用户,Wroba运营商没有采用安装恶意软件的方法,而是会使用重定向到钓鱼页面的策略。该页面模仿了苹果ID登录页面,试图从苹果迷那里获取凭证。
截至今年5月,苹果在美国智能手机市场的份额已超过一半。其实Wroba已经存在了很多年,但是以前主要针对亚太地区的用户。它最初是作为Android专用的移动银行木马开发的,能够窃取与金融交易相关的文件,但此后扩展了其功能。研究人员说,Wroba的最新版本可以可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易有关的文件、窃取联系人名单、拨打特定号码以及显示虚假钓鱼页面,以窃取受害者完整的身份信息。
一旦感染了某个设备,Wroba就会利用它的一些功能,比如窃取的联系人列表和短信功能进行传播,利用感染的设备通过发送带有恶意链接的短信(据称来自主机)进一步传播。
Lookout安全解决方案高级经理Hank Schless说:
| “ Wroba展示了如何将恶意软件发送到设备以为攻击带来更长远的收益。” |
他告诉Threatpost说:
| “一个获取证书的链接只针对一个目的,比如当你收到一条短信,说你的银行账户已被入侵,其目的是网络钓鱼你的银行证书。另一方面,Wroba可以隐藏在后台运行,随意地将凭据收集页面发送到你的浏览器。只要不引起注意,它就会试图窃取你的登录数据,甚至是你最私人的账户。” |
自今年年初以来,该恶意软件已将全球用户作为攻击目标,主要集中在中国,日本和俄罗斯联邦。
卡巴斯基说:
| “美国目前还不是Wroba攻击的重灾区,但似乎攻击者正朝这个地区发展,目前美国被Wroba攻击的用户数量增加数量非常多。我们是在10月29日发现的这波攻击,根据此次行动目标的电话号码判断,攻击者将其锁定为美国不同州的用户。” |
就像是FakeSpy恶意软件已经将攻击目标扩展到中国、法国、德国、英国和美国在内的国家,Wroba也将其攻击目标由原来的亚太地区扩展到了世界各地。
早2018年,Wroba就开始在亚洲之外寻找欧洲和中东地区的目标。据当时的卡巴斯基研究人员称,它还扩展了包括加密和之前提到的iOS钓鱼策略在内的功能。当时,它是通过DNS劫持进行传播的,DNS劫持将用户重定向到一个恶意网页,就像在当前活动中传播了一个木马程序一样。当时,它伪装成Facebook或Chrome。
如上所述,"Roaming Mantis "所开发的恶意软件就伪装成邮政短信曾攻击过美国。起初,该恶意软件瞄准的是说韩国和日语的人,但随后将目标扩大到中国、法国、瑞士、德国、英国和美国。
Schless告诉Threatpost,根据Lookout的数据,到目前为止,美国消费者网上诱骗攻击中有88%是试图将恶意软件传递到移动设备的尝试。
研究人员强调,为避免成为Wroba或任何其他移动恶意软件的受害者,用户应具备基本的安全保护措施,例如仅从官方商店下载应用程序;在智能手机设置中禁止从第三方来源安装应用程序;并避免点击来自未知发件人的可疑链接,甚至是来自已知发件人的可疑链接。
WhiteHat安全公司的首席安全工程师Ray Kelly告诉安全网站Threatpost:
| “虽然人们仍在努力避免被电子邮件进行钓鱼攻击,但现在,短信让事情变得更加复杂。应对短信的安全意识应该和电子邮件一样,永远不要点击来自未知或可疑发件人的链接。” |
本文翻译自:https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/
【责任编辑:
赵宁宁 TEL:(010)68476606】
