三个月发起7万次攻击,Rotexy什么来头?

三个月发起7万次攻击,Rotexy什么来头?

移动间谍软件变成了具有勒索软件功能的银行木马,在短短三个月的时间内就发动了超过70,000次攻击。曾经名为SMSThief的间谍软件现在已经改名为Rotexy了,卡巴斯基实验室探索了感染源以及如何免费删除它——只需使用几个简单的短信。

Rotexy银行木马工作原理

Rotexy通过短信传播,其中包含应用程序下载链接和一些引人注目的文本,这些内容会提示用户点击链接并下载应用程序。在某些情况下,这些消息是从朋友的电话号码发过来的,这就让受害者毫无防备并点击链接。

感染设备后,该木马要做一系列工作才能采取下一步行动。首先,Rotexy检查它已经登录的设备。这样做是为了妨碍防病毒研究人员的工作:如果恶意软件检测到它是在仿真器中运行而不是在真正的智能手机上运行,它就会无限循环应用程序初始化。

只有确认感染的设备是真正的智能手机后,Rotexy才会开始行动。第一步是请求管理员权限。从理论上讲,用户可以拒绝,但是请求会不断出现,这让用户无法正常使用手机。获取权限之后,Rotexy会告诉用户该应用无法加载并隐藏其图标。

在此之后,恶意软件会与攻击者联系,向他们提供该设备的信息。然后会接收下一步行动的指令以及一组模板和文本。默认情况下,Rotexy直接与C&C服务器通信,但其创建者实现了通过Google Cloud Messaging和SMS发送命令的方式。

短信窃贼——Rotexy

当消息到达受感染的手机时,Rotexy会切换为静音模式,受害者就不会注意到设备接收到了一条新短信。然后,Rotexy拦截该消息,根据从C&C服务器收到的模板进行检查,如果它包含任何隐私的信息(例如,手机银行短信通知中卡号的最后一位数字),则将其存储并转发给服务器。此外,Rotexy可以回复短信:回复模板也包含在模板库中以供需要时使用。

如果由于某种原因没有收到来自C&C服务器的模板或指令,Rotexy只会将短信保存在受感染的智能手机上,然后将其转发给主服务器。

最重要的是,在网络犯罪分子的命令下,Rotexy可以将链接发送给受感染手机电话簿中的的所有联系人——这是Rotexy主要分发方法之一。

银行木马——Rotexy

短信窃取不是Rotexy的唯一技巧,甚至不是主要的。Rotexy主要是通过窃取银行卡数据为攻击者牟利。为此,它会在屏幕上覆盖了一个网络钓鱼页面,其中包含接收到的文本以及短信拦截指令。页面的外观可能会有所不同,但内容都是告诉用户收到一笔转账,需要输入信用卡详细信息才能接收它。

三个月发起7万次攻击,Rotexy什么来头?

为了让受害者相信,Rotexy开发者为其添加了一个HTML页面,伪装成银行的登录表单并锁定设备屏幕,直到受害者提供必要的信息。该页面中还包括一个虚拟键盘,据称可以防止键盘记录器。首先,它验证卡号是否正确(卡号中的数字不是随机的,而是根据某些规则创建的)。接下来,Rotexy从截获的银行短信中提取卡号的最后四位数字,并将其与在网络钓鱼页面上输入的数字进行匹配。如果不匹配,则Rotexy会提示用户输入正确的卡号。

三个月发起7万次攻击,Rotexy什么来头?

勒索软件——Rotexy

有时Rotexy会从C&C服务器接收其他指令,执行不同的方案。它不会显示网络钓鱼页面,而是显示一个威胁性的窗口,要求受害者支付“观看违禁视频”的罚款。

三个月发起7万次攻击,Rotexy什么来头?

勒索页面

如何解锁感染了Rotexy的智能手机

好消息是,可以在不需要专家帮助的情况下解锁受感染的智能手机并摆脱Rotexy。如上所述,Rotexy可以通过短信接收命令,这些命令不需要从特定号码发送,任何人都可以。这意味着,如果您的智能手机被感染,无法关闭恶意窗口,您只需要另一部手机和我们的小指令:

1.发送“393838”到您的号码。Rotexy会将此解释为将C&C服务器的地址更改为空,并且将停止接收网络犯罪分子指令。

2.然后发送“3458”到您的号码。这将剥夺Rotexy的管理员权限并打破其对您设备的束缚。

3.最后,发送“stop_blocker”到您的号码。此命令将强制Rotexy删除挡住屏幕的网站或页面。

如果在此之后,Rotexy还请求管理员权限,只需以安全模式重启设备,转到应用程序管理器或应用程序和通知,并从设备中删除恶意软件。

请注意,解锁智能手机的方法基于对当前Rotexy版本的分析,在未来的版本中可能会有所不同。

如何防范Rotexy和其他移动木马

避免感染并不困难,主要是遵循下列简单规则:

1.不要点击邮件中的可疑链接。即使您很好奇,即使短信来自您的朋友,请先确认他是否给您发了信息。

2.只从Google Play下载Android应用,并将手机设置为阻止未知来源的程序安装模式。

3.使用安全可靠的移动防病毒软件,即使您不小心点击了不该点击的链接,也可以保护您免受恶意软件攻击。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/132831.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code