-威脅-Rotexy木馬:兼具銀行木馬與攔截器功能

Rotexy是兼具銀行木馬和勒索軟體攔截器功能的一種移動惡意軟體。最近,Rotexy的觸角大幅延伸,在整個8月和9月,據我們專家的記錄,在Android智能手機上植入這款惡意應用程序的嘗試次數達到40,000多次。我們已經在Securelist上發布了這只惡獸的一些技術細節和來歷,在本文中我們將探索感染源以及如何免費將其刪除—只需使用幾個簡單的短信。

Rotexy銀行木馬工作原理

Rotexy通過短信傳播,其中包含應用程序下載連結和一些吸引人的文本,這些內容會提示用戶點擊連結並下載應用程序。在某些案例中,這些消息是從朋友的電話號碼發過來的,因此用戶毫無防備就點擊了連結。

感染設備後,該木馬需要做一系列準備工作才能採取下一步行動。首先,Rotexy會檢查登錄到的是什麼設備。這樣做的目的是為了給防毒研究人員的工作造成障礙:如果惡意軟體檢測到是在仿真器中運行,而不是在真正的智能手機上運行,它就會無限循環應用程序初始化過程。在目前版本的Rotexy中,如果檢測到設備在俄羅斯之外的地區,也會發生同樣的情況。

只有確認被感染設備滿足上述基本要求後,Rotexy才會開始行動。第一步是請求管理員權限。理論上來說,用戶可以拒絕授予管理員權限,但是該請求會反復出現,導致用戶無法正常使用手機。通過此計謀成功取得管理員權限後,Rotexy會通知用戶該應用程序加載失敗並隱藏其圖標。

在此之後,惡意軟體會與攻擊者聯繫,向他們提供該設備的訊息。然後會接收下一步行動的指令以及一組模板和文本。默認情況下,會Rotexy直接與C&C服務器通信,但其創建者會採用其他方式來通過Google Cloud Messaging和短信發送命令。

短信竊賊Rotexy

僅僅收到短信Rotexy還不滿足。在被感染手機收到短信時,Rotexy會切換為靜音模式,這樣受害者就不會注意到設備接收到了一條新短信。然後,Rotexy會攔截該短信,根據從C&C服務器收到的模闆對其進行檢查;如果短信中包含任何隱私訊息(例如,手機銀行短信通知中卡號的最後一位數字),則將其存儲並轉發給服務器。此外,Rotexy還能代表機主回复這類短信:回复文本也包含在模板庫中以供需要時使用。

如果由於某種原因沒有收到來自C&C服務器的模板或指令,Rotexy只會保存被感染智能手機上的所有短信,然後將其轉發給主服務器。

最重要的是,根據網路犯罪分子的命令,Rotexy可以把下載連結發送給被感染手機通訊錄中的所有聯繫人——這是Rotexy的主要傳播方式之一。

銀行木馬Rotexy

短信竊取並不是Rotexy的唯一手段,甚至算不上是主要手段。Rotexy主要是通過竊取銀行卡數據為攻擊者牟利。為此,它會在螢幕上覆蓋了一個網路釣魚頁面,其中包含接收到的文本以及短信攔截指令。頁面的外觀可能會有所不同,但內容差不多,都是通知用戶收到了一筆轉帳,需要輸入信用卡詳細訊息才能收款。

為了讓受害者相信,Rotexy開發者專門構建了一道檢查來驗證信用卡號。首先,它會驗證信用卡號是否正確(你可能並不知道,卡號中的數字不是隨機的,而是根據某些規則創建的)。接下來,Rotexy會從攔截的銀行短信中提取卡號的最後四位數字,並將其與在網路釣魚頁面上輸入的數字進行匹配。如果不匹配,則Rotexy會提示用戶輸入正確的卡號。

勒索軟體Rotexy

有時Rotexy會從C&C服務器接收其他指令,執行不同的方案。例如,它不顯示網路釣魚頁面,而是改為顯示覆蓋智能手機螢幕的威脅性窗口,要求受害者支付”觀看違禁視頻”的罰款。

照片”證據”以色情剪輯圖像的形式附加。與移動勒索軟體的情況一樣,網路犯罪分子會假裝自己是某個官方機構的執法人員。Rotexy特別提到”FSB互聯網控制局”(但其實,俄羅斯並沒有這樣的單位)。

如何解鎖感染了Rotexy木馬的智能手機

好消息是,被感染的智能手機無需專家幫助就能解鎖並從手機上刪除Rotexy。如上所述,Rotexy可以通過短信接收命令,這些命令不需要從特定號碼發送,任何號碼都可以。這意味著,如果您的智能手機被感染,無法關閉惡意窗口,您只需使用另一部手機(朋友的或親戚的手機)並遵循我們的說明操作:

  • 向手機發送短信”393838″。Rotexy會將此解釋為將C&C服務器地址更改為空的指令,這將停止接收網路犯罪分子的指令。
  • 然後向手機發送短信”3458″。這將取消Rotexy的管理員權限,使其無法再控制您的設備。
  • 最後,向手機發送短信”stop_blocker”:此命令將強制Rotexy刪除覆蓋螢幕的網站或頁面。
  • 如果在此之後,Rotexy木馬再次請求您授予管理員權限,您只需以安全模式重啟設備(請參閱此處了解如何操作),轉至應用程序管理器應用程序和通知(不同版本的安卓手機的設置佈局方式有所不同),並從設備中刪除該惡意軟體–現在沒有任何阻力。完工!

請注意,解鎖智能手機的說明基於對當前版本Rotexy的分析;在未來版本中可能會有所不同。有關Rotexy木馬的更多技術細節,請訪問Securelist上發布的報告

如何防範Rotexy和其他移動木馬

在結束之前,我們需要提醒的是,最重要的是阻止惡意軟體進入智能手機,這讓您浪費的時間更少,減少神經緊張的機會。避免感染並不困難,主要是遵循下列簡單的規則:

  • 不要點擊短信中的可疑連結。就算您很好奇,就算短信來自您的朋友,也請先確認是否真是是本人發來的消息。
  • 只從Google Play下載Android應用程序,並且最好將智能手機設置為阻止安裝未知來源的程序。
  • 使用安全可靠的移動防毒軟體,這樣就算您不小心點擊了不該點擊的連結,也可以保護您免受惡意軟體攻擊。

資料來源: https://www.kaspersky.com.cn/blog/rotexy-banker-blocker/9974/

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: