Rotexy可接收指令进行各种攻击,例如化身银行木马,以网钓页面窃取被害者的银行信息,还能拦截简讯,或是变身为勒索软件锁住手机要求赎金。卡巴斯基实验室(Kaspersky Lab)于本周指出,有一支从2014年就存在的Rotexy经过这几年来不断地进化,同时具备了银行木马与勒索功能,还建立了3个通讯管道,在今年的8到10月间就发动了7万次攻击,主要的受灾地区为俄罗斯。
Rotexy主要透过内含链接的文字简讯以诱导用户下载恶意软件,当成功感染装置之后,它就会忙着建立自己的工作环境以执行下一阶段的恶意行动,包括检查所处的环境及装置是否符合需求,继之就会要求管理权限,而且会不断地提出请求直到使用者答应为止。
成功取得权限之后它就会回报安装失败,然后隐藏图示,却在背景开始与黑客通讯,它具备了3种接收命令的管道,一是传统的命令暨控制(C&C)服务器,二是透过Google Cloud Messaging(GCM)服务,三为文字简讯。
Rotexy能够拦截手机上所接收到的简讯,并检测它是否符合银行信息的规格,再将它储存并传送至C&C服务器,甚至能代替用户回复文字讯息。在取得管理权限之后,Rotexy还能发送文字简讯予通讯簿上的名单,附上含有恶意软件的连结,这即是Rotexy最主要的散布管道。为了窃取用户的银行信息,Rotexy会在屏幕上覆盖网钓页面,诱骗使用者输入信用卡或金融卡信息,还会验证卡号的格式是否正确,并提醒使用者输入正确的卡号。
假设Rotexy收到的指令是变身为勒索程序,它就会在手机首页上出现警告窗口,假冒为俄罗斯联邦安全局(FSB),宣称使用者因定期观赏被禁播的影片而必须支付罚款,否则该手机就会被锁住。文章转自:SBF胜博发
有趣的是,要解决Rotexy的威胁也很容易,各种程度的受害者都能自行处理。由于它能够接收来自文字简讯的命令,而且并未验证命令的来源,因此,只要用另一支手机传送简讯到被骇手机就能解锁。
在研究人员破解了Rotexy的指令之后发现,只要传送「393838」到被骇手机上,就可将C&C服务器的地址变更成空白,它将停止遵从源自C&C服务器的指令,再传送「3458」则能解除Rotexy的管理权限,最后传送「stop_blocker」以强迫Rotexy移除挡在屏幕上的网站或警告。
虽然Rotexy仍然会继续纠缠使用者以取得管理权限,但这时使用者已确定它是个恶意软件,只要重新启动至安全模式,再到Application Manager或Applications and Notifications将它移除即可。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
