据报道,俄罗斯一家名为Dr.Web的安全公司检测到了一款新型的安卓木马病毒(Android.SmsSpy.88)。黑客于两年前开发出了这一木马病毒,并将其用于监控目标用户的银行账户。现在,它却演变成了一种移动端的勒索软件。
-它是一款安卓木马,它被设计用来窃取用户的登录凭证。
-它可以从目标用户的银行账户中窃取资金。
-Android.SmsSpy.88可以通过Adobe Flash Palyer等应用程序来进行传播。
安全研究人员于2014年4月份发现了这一恶意软件,当时这一木马病毒主要通过垃圾短信来进行传播,当该木马病毒成功感染了目标用户的安卓手机之后,它就能够切断用户的语音通话和拦截短信消息。值得注意的是,这种木马针对的一般都是双因子身份验证系统。
该病毒属于“短信拦截”型木马,网上类似的短信拦截源码也非常的多,任何具备计算机专业基础知识的人都可以很快地编写出一个类似的“短信拦截木马”,这也导致该木马的变种数量多、出现频率快、传播范围广。
安全研究专家通过分析发现,该病毒在感染了目标设备之后,能够获取目标手机的以下权限:读取手机状态;接收、读取、发送短信内容;访问网络连接;运行程序读取或写入系统设置;读写内置SD卡;自动编写短信和访问联系人信息;使程序开机自动运行并获取当前最近运行任务的有关信息;允许用户唤醒机器、程序修改全局音频设置;允许程序访问有关GSM网络信息和WIFI网络状态信息等。另外,病毒感染成功之后,还会隐藏自身的图标,激活设备管理器,以防止其被卸载。
随着时间的推移,Android.SmsSpy木马也在不断进化之中。现在,该木马还可以通过钓鱼攻击等方式获取目标用户的信用卡信息。攻击者可以设置一个类似Google Play应用商店的界面来欺骗目标用户,以此来获取他们所需要的信息。而且安全研究专家还发现,这一木马甚至还可以伪装成俄罗斯著名银行的网银登录界面。
经过了两年多的时间,Android.SmsSpy的功能变得比之前更加的强大了。
而该木马病毒最显著的一次更新发生在2015年的年末,当时安全公司Dr.Web就表示,这一木马病毒的能力得到了很大的提升,它可以利用网络钓鱼攻击来从几乎全世界所有的银行机构中窃取机密数据。除此之外,它甚至还可以锁定用户手机的屏幕,并以此来要挟目标用户向其支付“赎金”。
该木马病毒不仅功能得到了大幅度的提升,而且其传播方式也得到了改进。在此之前,该木马病毒只能通过垃圾短信来进行传播,但现在它却可以伪装成其他的安卓应用程序(例如安卓版的Adobe Flash Player)来进行传播了。
Dr.Web公司的安全研究人员还发现,这款木马可以根据不同银行的系统来定制用于钓鱼攻击的弹窗信息。这也就意味着,攻击者可以根据不同银行的支付处理系统来调整钓鱼攻击所需的内容。
实际上,这一木马的功能已经非常的完整了。需要注意的是,最新版本的Android.SmsSpy要求木马的操作者提供建立网络连接的权限。
该木马在进行所有的网络操作时,都需要与C&C服务器进行交互。Dr.Web公司的安全研究人员表示,他们已经发现了超过50台主服务器,这些服务器还管理着大量的僵尸网络。
Dr.Web公司的安全研究人员表示,目前受该木马病毒所影响的用户遍布了两百多个国家,总共感染了至少四万多台移动设备。受该木马病毒影响最为严重的国家当属土耳其了,土耳其用户受感染的数量占了总数的大约五分之一。其它受影响较为严重的国家还有印度,西班牙,澳大利亚,德国,以及法国。
大多数的攻击事件都发生在版本为4.4的安卓操作系统之上,所占比例大约为35.71%。但是我们需要注意的是,Android.SmsSpy可以对版本在2.3至5.2之间的安卓操作系统进行攻击。
Dr.Web在本周报告称:“Android.SmsSpy.88.origin不仅是一款银行木马,而且还是一个间谍软件。更加重要的是,攻击者还可以把它当做勒索软件来使用。”
针对已经感染该手机病毒的手机用户,安全研究专家建议用户立即升级手机中的防病毒软件,并对移动设备进行一次全面查毒。对于未感染的用户,建议打开手机中防病毒软件的“实时监控”功能,对手机操作进行主动防御。另外,手机用户不要轻易点击和浏览陌生的短信内容,如果是联系人发来的短信,一定要核实其真实性之后再点击查看。
原文链接:http://blog.hackersonlineclub.com/2016/05/this-new-android-malware-hacks-your-phone.html?spref=tw