登陆 注册

Wroba Mobile Banking特洛伊木马通过短信向美国传播

googxxoo 2020-11-02 特洛伊木马病毒传播
黑白网(heibai.org)成立于2014年,多年来以其专业的视角,优质的服务为广大安全技术爱好者提供了目前国内最全的网络安全技术学习资料,普及中国网络安全知识,宣扬正确的黑客极客文化,全方面提高国内安全技术水平。

mmexport1604861495065.jpg

漫游螳螂集团的目标是美国的恶意软件,可以窃取信息,获取金融数据和发送文本的自我传播。

Wroba移动银行特洛伊木马已经成为一个重要的支点,首次将目标对准了美国的人。

卡巴斯基的研究人员称,针对美国Android和iPhone用户的攻击浪潮从周四开始。这场运动利用短信传播,利用虚假的“包裹递送”通知作为诱饵。

短信里面有一个链接,上面写着:“你的包裹已经发出去了。”卡巴斯基的研究人员周五在电子邮件中提醒道:“请检查并接受它。”

如果用户单击链接,接下来发生的事情取决于设备使用哪个操作系统。点击将android用户带到恶意站点,而恶意站点又会向用户发出警告,称浏览器已经过时,需要更新。如果用户单击“OK”,接下来将开始下载带有恶意应用程序的特洛伊化浏览器包。

但研究人员称,在Android用户可以下载完整Wroba的地方,可执行文件在iPhone上不起作用。对于iOS用户,Wroba操作符将设计一个重定向到网络钓鱼页面。该页面模仿Apple ID登录页面,试图从Apple迷那里获取凭据,但没有安装恶意软件。

苹果有一半以上占美国智能手机市场份额的比例。

Wroba已经存在多年了,但以前主要针对APAC的用户。它最初是作为android专用的移动银行木马开发的,能够窃取与金融交易相关的文件,但后来扩展了其功能。研究人员认为,wroba背后的运营商是中国的,被称为“漫游螳螂”。

研究人员说,Wroba的最新版本可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易相关的文件、窃取联系人名单、拨打指定号码和显示假钓鱼页面来窃取受害者的凭据。

一旦感染了设备,Wroba就会使用它的一些功能--窃取的联系人列表和SMS功能--进行传播,使用受感染的设备通过发送带有恶意链接的SMS来进一步传播,据称是来自主机。

Lookout的安全解决方案高级经理汉克·施劳斯(HankSchless)表示:“Wroba展示了如何向设备交付恶意软件可以为攻击带来更长期的收益。”该公司也一直在跟踪Wroba。

他对Threatpost说:“证书获取链接只针对你一个目的,比如当你收到一条短消息说你的银行账户被破坏了,其意图是伪造你的银行凭证。”

他说:“另一方面,Wroba可以静静地坐在后台,随意地向您的浏览器发送凭据获取页面。”“只要不被注意到,它就可以尝试获取您的登录数据,即使是您最私密的帐户。”

研究人员说,自今年年初以来,这种恶意软件已经瞄准了世界各地的用户,主要集中在中国、日本和俄罗斯联邦。

卡巴斯基说:“美国目前并没有排在第一位,但似乎网络罪犯正走向这个地区,观看Wroba的用户数量还会增加。”“这一波是在10月29日被发现的,目标是美国不同州的用户(从这场运动的目标电话号码判断)。”

该公司补充道:“以前看到的针对APAC用户的活动,所以很有趣地看到网络犯罪分子如何扩大他们的目标。”

2018年,Wroba看到重大重启当它开始瞄准欧洲和中东以及亚洲国家的时候。卡巴斯基当时的研究人员说,它也扩大了它的能力,包括加密以及前面提到的iOS钓鱼策略。在那个时候,它是通过DNS劫持传播的,它将用户重新定向到一个恶意网页,就像在当前的活动中一样,它分发了一个特洛伊化的应用程序(当时,它假装是Facebook或Chrome)。

值得注意的是,漫游螳螂过去曾蜂拥而至美国。今年夏天被发现一个不同的短信网络钓鱼运动,传播虚假间谍信息窃取者。该恶意软件伪装成合法的全球邮政应用程序,还从受害者的设备上窃取短信、金融数据和更多信息。首先是针对韩国和日本人,然后扩大到中国、台湾、法国、瑞士、德国、英国和美国。

Schless告诉Threatpost,根据Lookout的数据,到2020年为止,88%的美国消费者网络钓鱼攻击是试图向移动设备提供恶意软件。

研究人员强调,为了避免成为wroba或任何其他移动恶意软件的受害者,用户应该使用基本的安全卫生,比如只从官方商店下载应用程序;在智能手机环境中禁用第三方来源的应用程序安装;避免单击未知发件人的可疑链接,甚至是来自已知发件人的可疑链接。

WhiteHat Security的首席安全工程师雷·凯利(Ray Kelly)告诉ThreatPost,“人们仍在设法避免通过电子邮件进行网络钓鱼攻击。”“现在,短信使事情变得更加复杂。短信应该和电子邮件一样对待,不要点击来自未知或可疑发件人的链接。“

生成海报
请发表您的评论
请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.