今年7月，Cybereason發(fā)布報(bào)告稱一款名為FakeSpy的危險(xiǎn)Android惡意軟件重新出現(xiàn)。FakeSpy能夠竊取用戶的短信、銀行信息和應(yīng)用數(shù)據(jù)。通過(guò)研究發(fā)現(xiàn)FakeSpy旨在竊取用戶的短信、財(cái)務(wù)數(shù)據(jù)、銀行登錄信息、應(yīng)用數(shù)據(jù)、聯(lián)系人列表等等。FakeSpy通過(guò)一條看似來(lái)自當(dāng)?shù)剜]局的短信進(jìn)行傳播，并指示用戶下載一款偽裝成合法郵局應(yīng)用的應(yīng)用。目前FakeSpy的主要目標(biāo)是美國(guó)和西歐的用戶。

研究人員稱，所有跡象都表明FakeSpy的幕后開(kāi)發(fā)者是一個(gè)叫 "Roaming Mantis "的組織。再來(lái)說(shuō)說(shuō)FakeSpy通過(guò)短信的的傳播方式：

• 向攻擊目標(biāo)發(fā)送一條聲稱來(lái)自當(dāng)?shù)剜]局的短信，短信中聲稱郵局試圖投遞一個(gè)包裹，但由于用戶不在家而無(wú)法投遞;
• 短信提供了一個(gè)用戶可以點(diǎn)擊的鏈接，該鏈接引導(dǎo)用戶下載一個(gè)偽裝成合法郵政服務(wù)應(yīng)用的應(yīng)用程序。
• 一旦用戶將該程序安裝在手機(jī)上，該應(yīng)用就會(huì)將假短信以及惡意鏈接發(fā)送到用戶的整個(gè)聯(lián)系人列表中。

早在2018年，Roaming Mantis就通過(guò)Wi-Fi路由器感染過(guò)智能手機(jī)。當(dāng)時(shí)Roaming Mantis開(kāi)發(fā)的惡意軟件使用受感染的路由器感染基于Android的智能手機(jī)和平板電腦。然后，它將iOS設(shè)備重定向到釣魚(yú)網(wǎng)站，并在臺(tái)式機(jī)和筆記本電腦上運(yùn)行CoinHive密碼管理腳本。它是通過(guò)DNS劫持的方式實(shí)現(xiàn)的，這使得目標(biāo)用戶難以發(fā)現(xiàn)某些問(wèn)題。

近期又有研究人員發(fā)現(xiàn)了Roaming Mantis開(kāi)發(fā)的新惡意軟件——Wroba手機(jī)銀行木馬，且其攻擊目標(biāo)是美國(guó)人群。

據(jù)卡巴斯基的研究人員稱，自周四開(kāi)始，一波針對(duì)美國(guó)Android和iPhone用戶的攻擊就已經(jīng)出現(xiàn)了。該攻擊使用短信進(jìn)行傳播，以虛假的“包裹遞送”通知作為誘餌。這與FakeSpy攻擊的套路是一樣的。

首先攻擊者發(fā)送的短信內(nèi)容中包含一個(gè)鏈接，內(nèi)容為：“你的包裹已寄出，請(qǐng)檢查并接受。

其次如果用戶點(diǎn)擊鏈接，則接下來(lái)的操作就取決于設(shè)備所使用的操作系統(tǒng)。點(diǎn)擊會(huì)將Android用戶帶到一個(gè)惡意站點(diǎn)，該站點(diǎn)反過(guò)來(lái)向用戶發(fā)出警報(bào)，指出該瀏覽器已過(guò)期并且需要更新。如果用戶點(diǎn)擊“確定”，接下來(lái)將開(kāi)始下載帶有惡意應(yīng)用程序的木馬瀏覽器程序包。

但據(jù)研究人員的分析，在Android系統(tǒng)中下載的Wroba，無(wú)法在iPhone上運(yùn)行。而對(duì)于iOS用戶，Wroba運(yùn)營(yíng)商沒(méi)有采用安裝惡意軟件的方法，而是會(huì)使用重定向到釣魚(yú)頁(yè)面的策略。該頁(yè)面模仿了蘋果ID登錄頁(yè)面，試圖從蘋果迷那里獲取憑證。

截至今年5月，蘋果在美國(guó)智能手機(jī)市場(chǎng)的份額已超過(guò)一半。其實(shí)Wroba已經(jīng)存在了很多年，但是以前主要針對(duì)亞太地區(qū)的用戶。它最初是作為Android專用的移動(dòng)銀行木馬開(kāi)發(fā)的，能夠竊取與金融交易相關(guān)的文件，但此后擴(kuò)展了其功能。研究人員說(shuō)，Wroba的最新版本可以可以發(fā)送短信、檢查安裝了哪些應(yīng)用程序、打開(kāi)網(wǎng)頁(yè)、獲取任何與金融交易有關(guān)的文件、竊取聯(lián)系人名單、撥打特定號(hào)碼以及顯示虛假釣魚(yú)頁(yè)面，以竊取受害者完整的身份信息。

一旦感染了某個(gè)設(shè)備，Wroba就會(huì)利用它的一些功能，比如竊取的聯(lián)系人列表和短信功能進(jìn)行傳播，利用感染的設(shè)備通過(guò)發(fā)送帶有惡意鏈接的短信(據(jù)稱來(lái)自主機(jī))進(jìn)一步傳播。

Lookout安全解決方案高級(jí)經(jīng)理Hank Schless說(shuō)：

他告訴Threatpost說(shuō)：

自今年年初以來(lái)，該惡意軟件已將全球用戶作為攻擊目標(biāo)，主要集中在中國(guó)，日本和俄羅斯聯(lián)邦。

卡巴斯基說(shuō)：

就像是FakeSpy惡意軟件已經(jīng)將攻擊目標(biāo)擴(kuò)展到中國(guó)、法國(guó)、德國(guó)、英國(guó)和美國(guó)在內(nèi)的國(guó)家，Wroba也將其攻擊目標(biāo)由原來(lái)的亞太地區(qū)擴(kuò)展到了世界各地。

早2018年，Wroba就開(kāi)始在亞洲之外尋找歐洲和中東地區(qū)的目標(biāo)。據(jù)當(dāng)時(shí)的卡巴斯基研究人員稱，它還擴(kuò)展了包括加密和之前提到的iOS釣魚(yú)策略在內(nèi)的功能。當(dāng)時(shí)，它是通過(guò)DNS劫持進(jìn)行傳播的，DNS劫持將用戶重定向到一個(gè)惡意網(wǎng)頁(yè)，就像在當(dāng)前活動(dòng)中傳播了一個(gè)木馬程序一樣。當(dāng)時(shí)，它偽裝成Facebook或Chrome。

如上所述，"Roaming Mantis "所開(kāi)發(fā)的惡意軟件就偽裝成郵政短信曾攻擊過(guò)美國(guó)。起初，該惡意軟件瞄準(zhǔn)的是說(shuō)韓國(guó)和日語(yǔ)的人，但隨后將目標(biāo)擴(kuò)大到中國(guó)、法國(guó)、瑞士、德國(guó)、英國(guó)和美國(guó)。

Schless告訴Threatpost，根據(jù)Lookout的數(shù)據(jù)，到目前為止，美國(guó)消費(fèi)者網(wǎng)上誘騙攻擊中有88%是試圖將惡意軟件傳遞到移動(dòng)設(shè)備的嘗試。

研究人員強(qiáng)調(diào)，為避免成為Wroba或任何其他移動(dòng)惡意軟件的受害者，用戶應(yīng)具備基本的安全保護(hù)措施，例如僅從官方商店下載應(yīng)用程序;在智能手機(jī)設(shè)置中禁止從第三方來(lái)源安裝應(yīng)用程序;并避免點(diǎn)擊來(lái)自未知發(fā)件人的可疑鏈接，甚至是來(lái)自已知發(fā)件人的可疑鏈接。

WhiteHat安全公司的首席安全工程師Ray Kelly告訴安全網(wǎng)站Threatpost：

本文翻譯自：https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/