今年7月，Cybereason發(fā)布報(bào)告稱一款名為FakeSpy的危險(xiǎn)Android惡意軟件重新出現(xiàn)。FakeSpy能夠竊取用戶的短信、銀行信息和應(yīng)用數(shù)據(jù)。通過研究發(fā)現(xiàn)FakeSpy旨在竊取用戶的短信、財(cái)務(wù)數(shù)據(jù)、銀行登錄信息、應(yīng)用數(shù)據(jù)、聯(lián)系人列表等等。FakeSpy通過一條看似來自當(dāng)?shù)剜]局的短信進(jìn)行傳播，并指示用戶下載一款偽裝成合法郵局應(yīng)用的應(yīng)用。目前FakeSpy的主要目標(biāo)是美國和西歐的用戶。

研究人員稱，所有跡象都表明FakeSpy的幕后開發(fā)者是一個(gè)叫 "Roaming Mantis "的組織。再來說說FakeSpy通過短信的的傳播方式：

• 向攻擊目標(biāo)發(fā)送一條聲稱來自當(dāng)?shù)剜]局的短信，短信中聲稱郵局試圖投遞一個(gè)包裹，但由于用戶不在家而無法投遞;
• 短信提供了一個(gè)用戶可以點(diǎn)擊的鏈接，該鏈接引導(dǎo)用戶下載一個(gè)偽裝成合法郵政服務(wù)應(yīng)用的應(yīng)用程序。
• 一旦用戶將該程序安裝在手機(jī)上，該應(yīng)用就會(huì)將假短信以及惡意鏈接發(fā)送到用戶的整個(gè)聯(lián)系人列表中。

早在2018年，Roaming Mantis就通過Wi-Fi路由器感染過智能手機(jī)。當(dāng)時(shí)Roaming Mantis開發(fā)的惡意軟件使用受感染的路由器感染基于Android的智能手機(jī)和平板電腦。然后，它將iOS設(shè)備重定向到釣魚網(wǎng)站，并在臺式機(jī)和筆記本電腦上運(yùn)行CoinHive密碼管理腳本。它是通過DNS劫持的方式實(shí)現(xiàn)的，這使得目標(biāo)用戶難以發(fā)現(xiàn)某些問題。

近期又有研究人員發(fā)現(xiàn)了Roaming Mantis開發(fā)的新惡意軟件——Wroba手機(jī)銀行木馬，且其攻擊目標(biāo)是美國人群。

據(jù)卡巴斯基的研究人員稱，自周四開始，一波針對美國Android和iPhone用戶的攻擊就已經(jīng)出現(xiàn)了。該攻擊使用短信進(jìn)行傳播，以虛假的“包裹遞送”通知作為誘餌。這與FakeSpy攻擊的套路是一樣的。

首先攻擊者發(fā)送的短信內(nèi)容中包含一個(gè)鏈接，內(nèi)容為：“你的包裹已寄出，請檢查并接受。

其次如果用戶點(diǎn)擊鏈接，則接下來的操作就取決于設(shè)備所使用的操作系統(tǒng)。點(diǎn)擊會(huì)將Android用戶帶到一個(gè)惡意站點(diǎn)，該站點(diǎn)反過來向用戶發(fā)出警報(bào)，指出該瀏覽器已過期并且需要更新。如果用戶點(diǎn)擊“確定”，接下來將開始下載帶有惡意應(yīng)用程序的木馬瀏覽器程序包。

但據(jù)研究人員的分析，在Android系統(tǒng)中下載的Wroba，無法在iPhone上運(yùn)行。而對于iOS用戶，Wroba運(yùn)營商沒有采用安裝惡意軟件的方法，而是會(huì)使用重定向到釣魚頁面的策略。該頁面模仿了蘋果ID登錄頁面，試圖從蘋果迷那里獲取憑證。

截至今年5月，蘋果在美國智能手機(jī)市場的份額已超過一半。其實(shí)Wroba已經(jīng)存在了很多年，但是以前主要針對亞太地區(qū)的用戶。它最初是作為Android專用的移動(dòng)銀行木馬開發(fā)的，能夠竊取與金融交易相關(guān)的文件，但此后擴(kuò)展了其功能。研究人員說，Wroba的最新版本可以可以發(fā)送短信、檢查安裝了哪些應(yīng)用程序、打開網(wǎng)頁、獲取任何與金融交易有關(guān)的文件、竊取聯(lián)系人名單、撥打特定號碼以及顯示虛假釣魚頁面，以竊取受害者完整的身份信息。

一旦感染了某個(gè)設(shè)備，Wroba就會(huì)利用它的一些功能，比如竊取的聯(lián)系人列表和短信功能進(jìn)行傳播，利用感染的設(shè)備通過發(fā)送帶有惡意鏈接的短信(據(jù)稱來自主機(jī))進(jìn)一步傳播。

Lookout安全解決方案高級經(jīng)理Hank Schless說：

他告訴Threatpost說：

自今年年初以來，該惡意軟件已將全球用戶作為攻擊目標(biāo)，主要集中在中國，日本和俄羅斯聯(lián)邦。

卡巴斯基說：

就像是FakeSpy惡意軟件已經(jīng)將攻擊目標(biāo)擴(kuò)展到中國、法國、德國、英國和美國在內(nèi)的國家，Wroba也將其攻擊目標(biāo)由原來的亞太地區(qū)擴(kuò)展到了世界各地。

早2018年，Wroba就開始在亞洲之外尋找歐洲和中東地區(qū)的目標(biāo)。據(jù)當(dāng)時(shí)的卡巴斯基研究人員稱，它還擴(kuò)展了包括加密和之前提到的iOS釣魚策略在內(nèi)的功能。當(dāng)時(shí)，它是通過DNS劫持進(jìn)行傳播的，DNS劫持將用戶重定向到一個(gè)惡意網(wǎng)頁，就像在當(dāng)前活動(dòng)中傳播了一個(gè)木馬程序一樣。當(dāng)時(shí)，它偽裝成Facebook或Chrome。

如上所述，"Roaming Mantis "所開發(fā)的惡意軟件就偽裝成郵政短信曾攻擊過美國。起初，該惡意軟件瞄準(zhǔn)的是說韓國和日語的人，但隨后將目標(biāo)擴(kuò)大到中國、法國、瑞士、德國、英國和美國。

Schless告訴Threatpost，根據(jù)Lookout的數(shù)據(jù)，到目前為止，美國消費(fèi)者網(wǎng)上誘騙攻擊中有88%是試圖將惡意軟件傳遞到移動(dòng)設(shè)備的嘗試。

研究人員強(qiáng)調(diào)，為避免成為Wroba或任何其他移動(dòng)惡意軟件的受害者，用戶應(yīng)具備基本的安全保護(hù)措施，例如僅從官方商店下載應(yīng)用程序;在智能手機(jī)設(shè)置中禁止從第三方來源安裝應(yīng)用程序;并避免點(diǎn)擊來自未知發(fā)件人的可疑鏈接，甚至是來自已知發(fā)件人的可疑鏈接。

WhiteHat安全公司的首席安全工程師Ray Kelly告訴安全網(wǎng)站Threatpost：

本文翻譯自：https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/