示意圖,與新聞事件無關。

卡巴斯基實驗室(Kaspersky Lab)於本周指出,有一支從2014年就存在的Rotexy經過這幾年來不斷地進化,同時具備了銀行木馬與勒索功能,還建立了3個通訊管道,在今年的8到10月間就發動了7萬次攻擊,主要的受災地區為俄羅斯。

Rotexy主要透過內含連結的文字簡訊以誘導使用者下載惡意程式,當成功感染裝置之後,它就會忙著建立自己的工作環境以執行下一階段的惡意行動,包括檢查所處的環境及裝置是否符合需求,繼之就會要求管理權限,而且會不斷地提出請求直到使用者答應為止。

成功取得權限之後它就會回報安裝失敗,然後隱藏圖示,卻在背景開始與駭客通訊,它具備了3種接收命令的管道,一是傳統的命令暨控制(C&C)伺服器,二是透過Google Cloud Messaging(GCM)服務,三為文字簡訊。

Rotexy能夠攔截手機上所接收到的簡訊,並檢測它是否符合銀行資訊的規格,再將它儲存並傳送至C&C伺服器,甚至能代替使用者回覆文字訊息。

在取得管理權限之後,Rotexy還能發送文字簡訊予通訊錄上的名單,附上含有惡意程式的連結,這即是Rotexy最主要的散布管道。

為了竊取使用者的銀行資訊,Rotexy會在螢幕上覆蓋網釣頁面,誘騙使用者輸入信用卡或金融卡資訊,還會驗證卡號的格式是否正確,並提醒使用者輸入正確的卡號。

假設Rotexy收到的指令是變身為勒索程式,它就會在手機首頁上出現警告視窗,假冒為俄羅斯聯邦安全局(FSB),宣稱使用者因定期觀賞被禁播的影片而必須支付罰款,否則該手機就會被鎖住。

有趣的是,要解決Rotexy的威脅也很容易,各種程度的受害者都能自行處理。由於它能夠接收來自文字簡訊的命令,而且並未驗證命令的來源,因此,只要用另一支手機傳送簡訊到被駭手機就能解鎖。

在研究人員破解了Rotexy的指令之後發現,只要傳送「393838」到被駭手機上,就可將C&C伺服器的位址變更成空白,它將停止遵從源自C&C伺服器的指令,再傳送「3458」則能解除Rotexy的管理權限,最後傳送「stop_blocker」以強迫Rotexy移除擋在螢幕上的網站或警告。

雖然Rotexy仍然會繼續糾纏使用者以取得管理權限,但這時使用者已確定它是個惡意程式,只要重新啟動至安全模式,再到Application Manager或Applications and Notifications將它移除即可。


Advertisement

更多 iThome相關內容