安卓机必看:Rotexy移动银行木马发起7万+攻击,具备勒索功能!

zevseo
8760zevseo大版主
2018-11-26 00:24:02
8760 2018-11-26 00:24:02
黑客话题: rotexy

移动间谍软件变成了具有勒索软件功能的银行木马,在短短三个月的时间内就发动了超过70,000次攻击。
野兽的名字现在是Rotexy,但过去它在间谍日被检测为SMSThief。
卡巴斯基实验室的恶意软件分析师仔细研究了2014年首次发现的移动威胁,并证明其自早期发布以来具有高度通用性。

描述:Rotexy移动木马在三个月内发起7万+攻击

图片:170x170_trojan-horse-292-176.png

Rotexy移动木马在三个月内发起7万+攻击
多个沟通渠道

使其脱颖而出的一个特征是同时使用三个独立的通信通道来接收命令。
研究人员发现,它可以通过Google Cloud Messaging(GCM)服务获取指令,该服务以JSON格式向移动设备发送消息。
但是,此渠道将无法在2019年4月11日之后使用,因为Google已将其弃用。
Rotexy用于向受感染目标发送命令的另一种方法来自命令和控制(C2)服务器,因为它是大多数恶意软件的典型情况。
第三种方法是基于SMS的,并允许操作员通过向受感染的移动电话发送文本消息来控制恶意软件的动作。
Rotexy的最新版本主要针对位于俄罗斯的用户,尽管卡巴斯基也注意到乌克兰,德国,土耳其和其他几个国家的受害者。
根据安全公司的数据,最近的袭击事件发生在8月至10月之间。
恶意软件分析师Tatyana Shishkova和Lev Pinkman 记录  了Rotexy恶意软件的演变,标志着关键的发展,例如处理SMS通信或对目标和C2之间交换的数据应用AES加密。

从2016年底开始,该木马显示其重点是通过网络钓鱼页面窃取用户的银行卡数据。

描述:Rotexy移动木马在三个月内发起7万+攻击

图片:rotexy-mobile-trojan-card-data.png

Rotexy移动木马在三个月内发起7万+攻击
稍后,开发人员添加了一个HTML页面,模仿合法银行的登录表单并锁定设备屏幕,直到受害者提供必要的信息。
为了使骗局可信,威胁演员包括一个虚拟键盘,据称可以提供针对键盘记录应用程序的保护。

描述:Rotexy移动木马在三个月内发起7万+攻击

图片:rotexy-mobile-trojan-virtual-keyboard (1).png

Rotexy移动木马在三个月内发起7万+攻击
为了引诱受害者放弃敏感数据,屏幕上显示的HTML页面通知受害者他们收到了汇款。要接受资金,他们需要提供信用卡详细信息。


对管理员权限的激进请求

它的最新版本包括一个保护机制,用于检查它所在的国家/地区以及它是否在模拟环境中运行。
如果它在俄罗斯和真实系统上,Rotexy会向GCM注册并检查它是否具有管理员权限。如果恶意软件不以提升的权限运行并且使用非常烦人的策略来确定用户授予其管理状态,则该恶意软件非常具有攻击性。
“它每秒执行一次特权检查;如果不可用,特洛伊木马开始以无限循环从用户请求它们,”研究人员告知。

描述:Rotexy移动木马在三个月内发起7万+攻击

图片:rotexy-mobile-trojan-card-admin_request.png

Rotexy移动木马在三个月内发起7万+攻击
他们补充说,任何撤销其管理员权限的企图都会定期关闭手机的显示屏,以阻止此操作。如果用户成功降级Rotexy的状态,恶意软件会重新启动并恢复其恐吓策略。


勒索软件游戏

研究人员观察到的功能之一是隐藏来自受害者的短信通信,将手机置于静音模式,并在信息到达时关闭屏幕。

它的勒索软件功能包括显示带有色情图片的敲诈勒索HTML页面并冻结手机。显然,通过支付赎金来解除对设备的阻塞。
然而,解锁设备是一件容易的事,因为研究人员发现触发此操作的命令。由于也可以通过短信进行通信,因此在短信中发送“3458”会撤销管理员权限,“stop_blocker”会对交易进行密封。
恶意软件可能会重新开始重复其特权请求,一旦Rotexy被踢出系统,此问题就会消失:以安全模式启动并将其删除。
研究人员警告说,这些说明适用于当前版本的恶意软件,未来版本可能效率不高。
本文标题:安卓机必看:Rotexy移动银行木马发起7万+攻击,具备勒索功能!
本文作者:zevseo
本文来自:蚁安黑客官网
转载请注明本文链接:http://bbs.mayidui.net/t2452.html
游客
登录黑客论坛后才可以回帖,黑客登录 或者 注册黑客
weixin
蚁安黑客

找黑客工具、找黑客教程、找黑客朋友,你想不到的黑客技术这儿都有!

微信号:baiyiwangan