今年7月,Cyber??eason发布报告称,一款名为FakeSpy的危险Android恶意软件再次出现。FakeSpy能够窃取用户的短信、银行信息和应用程序数据。通过研究发现,FakeSpy旨在窃取用户的短信、财务数据、银行登录信息、应用程序数据、联系人列表等。FakeSpy通过看似来自当地邮局的短信进行传播,并指示用户下载伪装成合法邮局应用程序的应用程序。目前FakeSpy的主要目标是美国和西欧的用户。研究人员表示,所有迹象都指向FakeSpy背后一个名为“漫游螳螂”的组织。下面说一下FakeSpy是如何通过短信传播的:向目标发送一条自称来自当地邮局的短信,声称邮局试图投递包裹,但由于用户不在家而无法投递;该短信提供了一个用户可以点击的链接,该链接会引导用户下载一个伪装成合法邮政服务应用程序的应用程序。一旦用户在手机上安装了该程序,该应用程序就会向用户的整个联系人列表发送虚假短信和恶意链接。早在2018年,RoamingMantis就通过Wi-Fi路由器感染了智能手机。RoamingMantis当时开发的恶意软件使用受感染的路由器来感染基于Android的智能手机和平板电脑。然后它将iOS设备重定向到钓鱼网站,并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它通过DNS劫持来做到这一点,这使得目标用户难以发现某些问题。近日,研究人员发现了一种由RoamingMantis开发的新型恶意软件——Wroba手机银行木马,其攻击目标是美国人群。据卡巴斯基研究人员称,自周四以来,针对美国Android和iPhone用户的攻击浪潮已经开始。攻击是通过短信传播的,以虚假的“包裹递送”通知为诱饵。这与FakeSpy攻击的模式相同。首先,攻击者发送的短信内容中包含一个链接,内容为:“您的包裹已发送,请查收。其次,如果用户点击该链接,接下来的操作取决于所使用的操作系统Click会将Android用户带到恶意网站,这反过来会提醒用户浏览器已过时,需要更新。如果用户单击“确定”,下一步就是开始下载带有恶意应用程序的特洛伊木马浏览器包。但据研究人员分析,在Android系统中下载的Wroba无法在iPhone上运行。对于iOS用户,Wroba运营商不会安装恶意软件,而是会使用重定向到钓鱼页面的策略。该页面模仿AppleID登录页面,试图从Apple粉丝那里获取凭据。截至今年5月,苹果占据了美国智能手机市场的一半以上。其实Wroba已经存在很多年了,不过以前主要面向亚太地区的用户。它最初是作为Android专用的移动银行木马开发的,能够窃取与金融交易相关的文件,但后来扩展了其功能。研究人员表示,最新版本的Wroba可以发送短信、检查安装了哪些应用程序、打开网页、抓取与金融交易相关的任何文件、窃取联系人列表、拨打特定号码并显示虚假的网络钓鱼页面以窃取受害者的钱财。完整的身份信息。一旦设备被感染,Wroba就会使用它的某些功能进行传播,例如被盗的联系人列表和SMS功能,使用受感染的设备通过发送带有恶意链接的短信进一步传播,据称是来自主机。Lookout安全解决方案高级经理HankSchless表示:“Wroba展示了如何将恶意软件发送到设备,从而为攻击带来更多长期利益。”他告诉Threatpost:“获取证书的链接只有一个目的,例如当你收到一条短信说你的银行账户已被盗用,目的是钓鱼你的银行凭证。另一方面,Wroba可以隐藏运行在后台,随意向您的浏览器发送凭据收集页面。只是不要引起注意,它会尝试窃取您的登录数据,甚至是您最私密的帐户。自今年年初以来,该恶意软件的目标用户遍布全球,主要集中在中国、日本和俄罗斯联邦。卡巴斯基表示:“美国目前并不是Wroba攻击的重灾区,但似乎攻击者正在这一地区发展。目前,美国受到Wroba攻击的用户数量增加了很多。我们发现这波攻击发生在10月29日,从此次行动的目标电话号码来看,攻击者针对的是美国不同州的用户。就像FakeSpy恶意软件将攻击目标扩大到中国、法国、德国、英国、美国等国家一样,Wroba也将攻击目标从原来的亚太地区扩大到全球。早在2018年,Wroba就开始将目光投向亚洲以外的欧洲和中东地区。根据卡巴斯基研究人员当时的说法,它还扩展了功能,包括加密和前面提到的iOS网络钓鱼策略。当时,它是通过DNS劫持传播的,DNS劫持将用户重定向到恶意网页,就像木马在当前活动中传播一样。当时,它伪装成Facebook或Chrome。如上所述,“RoamingMantis”开发的恶意软件伪装成ChengPostSMS,此前曾攻击过美国。起初,该恶意软件针对的是韩语和日语用户,但随后将其目标扩展到中国、法国、瑞士、德国、英国,而美国的Schless告诉Threatpost,根据Lookout的数据,迄今为止,在针对美国消费者的网络钓鱼攻击中,88%都是试图向移动设备传送恶意软件。研究人员强调,为避免成为Wroba或任何其他移动恶意软件的受害者,用户应具备基本的安全措施,例如仅从官方商店下载应用程序;在智能手机设置中禁用第三方来源的应用程序安装;避免点击来自未知发件人的可疑链接,即使是已知发件人。WhiteHatSecurity的首席安全工程师RayKelly告诉安全网站Threatpost:“虽然人们仍在努力避免被电子邮件钓鱼,但短信现在让事情变得更加复杂。短信应该与电子邮件一样具有相同的安全意识,永远不要点击来自未知或可疑发件人的链接。”本文翻译自:https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/
