卡巴斯基:多才多艺的Android恶意程式Rotexy在3个月内发动7万次攻击
https://www.ithome.com.tw/news/127239
Rotexy可接收指令进行各种攻击,例如化身银行木马,以网钓页面窃取被害者的银行资讯
,还能拦截短信,或是变身为勒索软件锁住手机要求赎金。
文/陈晓莉 | 2018-11-23发表
卡巴斯基实验室(Kaspersky Lab)于本周指出,有一支从2014年就存在的Rotexy经过这
几年来不断地进化,同时具备了银行木马与勒索功能,还建立了3个通讯管道,在今年的8
到10月间就发动了7万次攻击,主要的受灾地区为俄罗斯。
Rotexy主要透过内含连结的文字短信以诱导使用者下载恶意程式,当成功感染装置之后,
它就会忙着建立自己的工作环境以执行下一阶段的恶意行动,包括检查所处的环境及装置
是否符合需求,继之就会要求管理权限,而且会不断地提出请求直到使用者答应为止。
成功取得权限之后它就会回报安装失败,然后隐藏图示,却在背景开始与骇客通讯,它具
备了3种接收命令的管道,一是传统的命令暨控制(C&C)服务器,二是透过Google
Cloud Messaging(GCM)服务,三为文字短信。
Rotexy能够拦截手机上所接收到的短信,并检测它是否符合银行资讯的规格,再将它储存
并传送至C&C服务器,甚至能代替使用者回复文字讯息。
在取得管理权限之后,Rotexy还能发送文字短信予通讯录上的名单,附上含有恶意程式的
连结,这即是Rotexy最主要的散布管道。
为了窃取使用者的银行资讯,Rotexy会在萤幕上覆蓋网钓页面,诱骗使用者输入信用卡或
金融卡资讯,还会验证卡号的格式是否正确,并提醒使用者输入正确的卡号。
假设Rotexy收到的指令是变身为勒索程式,它就会在手机首页上出现警告视窗,假冒为俄
罗斯联邦安全局(FSB),宣称使用者因定期观赏被禁播的影片而必须支付罚款,否则该
手机就会被锁住。
有趣的是,要解决Rotexy的威胁也很容易,各种程度的受害者都能自行处理。由于它能够
接收来自文字短信的命令,而且并未验证命令的来源,因此,只要用另一支手机传送短信
到被骇手机就能解锁。
在研究人员破解了Rotexy的指令之后发现,只要传送“393838”到被骇手机上,就可将
C&C服务器的位址变更成空白,它将停止遵从源自C&C服务器的指令,再传送“3458”则能
解除Rotexy的管理权限,最后传送“stop_blocker”以强迫Rotexy移除挡在萤幕上的网站
或警告。
虽然Rotexy仍然会继续纠缠使用者以取得管理权限,但这时使用者已确定它是个恶意程式
,只要重新启动至安全模式,再到Application Manager或Applications and
Notifications将它移除即可。