近日,一款手机间谍软件变成了具有勒索功能的银行木马软件,在短短三个月的时间里发动了超过70000次攻击。
这只款软件的名字现在叫Rotexy,但是在它作为手机间谍软件的时候,它被称为SMSThief。
卡巴斯基实验室(Kaspersky Lab)的恶意软件研究员仔细观察了这一在2014年首次被发现的恶意APP,并证明其自早期发布以来就具有很强的通用性。
多个通信信道
它的一个突出特点就是同时使用三个独立的通信信道来接收命令。
研究人员发现,它可以通过Google Cloud Messaging(GCM)服务获得指令,该谷歌服务主要是将JSON格式的消息传递给移动设备。
然而,这个信道在2019年4月11日之后就不能工作了,因为Google不再提供这个服务。
另一个方法是Rotexy从一个专用的命令和控制(C2)服务器发送命令,这也是大多数恶意软件的所使用的方法。
第三种方法是基于SMS(短信)的,它通过黑客向受感染的手机发送文本消息来控制恶意软件的行为。
卡巴斯基注意到,虽然在乌克兰、德国、土耳其和其他一些国家也存在受害者,但最新版本的Rotexy主要针对的是俄罗斯用户。
根据安全公司的数据,最近的一次Rotexy攻击狂潮发生在8月至10月之间。
恶意软件分析家Tatyana Shishkova和Lev Pinkman记录了Rotexy恶意软件的演化,标记了其关键的转变,例如使用SMS进行通信或将AES加密应用于目标与C2之间的数据交换。
从2016年底开始,木马的攻击重点是通过钓鱼页面窃取用户的银行卡数据。
Rotexy的开发人员添加了一个HTML页面,该页面模仿合法银行的登录表单,并在显示时锁定设备屏幕,直到受害者提供必要的信息。
为了使得受害者相信这个页面,黑客提供了一个虚拟键盘,并声称它提供了针对键盘记录程序的防范措施。
为了诱使受害者输入敏感数据,所显示的HTML页面通知受害者他们收到了汇款。如果要接受这笔资金,需要提供信用卡的明细。
疯狂请求权限提升
该木马的最新版本包含一个保护机制,会检查手机所在的国家,以及它是否是在虚拟环境中运行。
如果是运行在俄罗斯的物理的手机上,Rotexy会在Google Cloud Messaging (GCM)注册并检查它是否具有管理员权限。如果恶意软件是在低权限的状态下运行的,就会使用非常烦人和具有进攻性的策略来强制用户授予其管理权限。
“它每秒执行一次权限检查;如果不是管理员权限,木马则无限循环向用户请求权限提升,”研究人员表示。
研究人员还补充道,任何撤销其管理权限的尝试都将以周期性地关闭手机屏幕方式来对抗。而如果用户成功地降低了Rotexy的权限,恶意软件将重新启动和利用其烦人的上述策略。
勒索游戏
研究人员观察到该恶意软件的能力之一是隐秘短信通信,使受害者的电话置于静音模式,并在消息到达时关闭屏幕显示。
它的勒索功能包括显示一个带有色情图像的敲诈者HTML页面,以及冻结手机。显然,解锁手机的条件是支付赎金。
然而,解锁手机是很容易做到的,因为研究人员发现了触发这个动作的命关键令。由于是通过SMS进行通信,所以用另一手机往手机发送短信“3458”将撤销管理员特权,而发送“stop_blocker”将撤销该冻结。
此时恶意软件可能又开始请求管理员权限,但一旦Rotexy被删除,这个问题就消失了:在安全模式下引导并删除它。
研究人员警告说,以上这些指令对当前版本的恶意软件有效,但可能对未来版本的恶意软件无效。
原文链接:https://www.bleepingcomputer.com/news/security/rotexy-mobile-trojan-launches-70k-attacks-in-three-months/