在過去3個月中,卡巴斯基實驗室的專傢一直在對一種被稱為Obad.a木馬的安卓惡意應用的傳播手段進行調查。調查顯示,該木馬幕後的網絡罪犯使用瞭一種全新的感染手段對該惡意軟件進行傳播。這也是手機網絡犯罪歷史上,首個利用其他網絡犯罪集團掌控的僵屍網絡進行傳播的木馬程序。目前,Obad在CIS(獨聯體)國傢傳播最為廣泛,其中83%的感染均發生在俄羅斯。此外,烏克蘭、白俄羅斯、烏茲別克斯坦和哈薩克斯坦等國傢的移動設備上同樣檢測到這一木馬。
調查顯示,Obad的多種版本采用瞭一種有趣的傳播模式,即利用Trojan-SMS.AndroidOS.Opfake.a進行傳播。這種雙重感染手段一般通過向用戶發送短信來進行。短信會提示用戶下載一個最新收到的短信息。如果受害者點擊瞭短信鏈接,會自下載動一個包含Opfake的文件到用戶智能手機和平板電腦。而用戶啟動該惡意文件,惡意程序就會安裝。一旦其成功運行,木馬會向被感染設備中的所有聯系人發送短信。如果接收到這些短信的用戶點擊其中的鏈接,就會下載Obad.a木馬。這是一種非常有效的傳播系統。一傢俄羅斯移動網絡供應商聲稱,僅在5小時內,網絡內就出現超過600條包含此類惡意鏈接的短信,這表明其傳播規模非常可觀。大多數情況下,該惡意軟件會利用已經被感染的設備進行傳播。
除瞭利用手機僵屍網絡進行傳播外,這種高度復雜的木馬還能夠通過垃圾短信進行傳播。這也是Obad.a木馬的主要傳播途徑。通常,手機用戶會接收到一條提示用戶“欠費”的短信,如果用戶點擊瞭其中的鏈接,就會自動下載Obad.a到移動設備。同樣地,隻有用戶運行下載文件,才會將木馬安裝到設備上。
與此同時,一些假冒的應用商店同樣會傳播Backdoor.AndroidOS.Obad.a。這些在線應用商店會抄襲Google Play的頁面,並將其中的合法應用鏈接替換為惡意應用鏈接。當合法網站被黑客攻陷後,用戶就會被重定向到惡意網站。Obad.a僅針對移動用戶發起攻擊,如果用戶使用傢用計算機訪問惡意網站,則什麼都不會發生。但是如果使用移動操作系統的智能手機和平板電腦訪問,就會被重定向到假冒的惡意網站(目前隻有安卓用戶面臨感染風險)。
“3個月期間,我們共發現12種不同版本的Backdoor.AndroidOS.Obad.a。這些惡意程序全都具有相似的功能以及較高水平的幹擾代碼。每個版本的惡意程序都會利用安卓操作系統的漏洞,使得惡意軟件具備設備管理員權限,使得清除非常困難。發現上述情況後,我們立即通知瞭Google公司。Google已經在安卓4.3中修補瞭上述安全漏洞。但是,現在隻有少數最新的智能手機和平板電腦運行這一版本的安卓系統,運行較早版本安卓系統的設備仍然面臨風險。同其他安卓木馬不同,Obad.a使用大量未公佈的漏洞進行感染,這一點同Windows惡意軟件非常相似,”卡巴斯基實驗室頂級反病毒專傢Roman Unuchek解釋說。如需瞭解更多關於Obad.a的傳播手段詳情,請訪問securelist.com。
Orignal From: 卡巴發現首個僵屍網絡傳播的手機木馬
留言列表
