卡巴斯基实验室(Kaspersky Lab)于本周指出,有一支从2014年就存在的Rotexy经过这几年来不断地进化,同时具备了银行木马与勒索功能,还创建了3个通信渠道,在今年的8到10月间就发动了7万次攻击,主要的受灾地区为俄罗斯。
Rotexy主要通过内置链接的文本短信以诱导用户下载恶意程序,当成功感染设备之后,它就会忙着创建自己的工作环境以执行下一阶段的恶意行动,包括检查所处的环境及设备是否符合需求,之后就会要求管理权限,而且会不断地提出请求直到用户答应为止。
成功取得权限之后它就会汇报安装失败,然后隐藏图标,却在背景开始与黑客通信,它具备了3种接收命令的渠道,一是传统的命令暨控制(C&C)服务器,二是通过Google Cloud Messaging(GCM)服务,三为文本短信。
Rotexy能够拦截手机上所接收到的短信,并检测它是否符合银行信息的规格,再将它存储并发送至C&C服务器,甚至能代替用户回复文本信息。
在取得管理权限之后,Rotexy还能发送文本短信给通讯录上的名单,附上含有恶意程序的链接,这即是Rotexy最主要的传播渠道。
为了窃取用户的银行信息,Rotexy会在屏幕上覆盖网络钓鱼页面,诱骗用户输入信用卡或金融卡信息,还会验证卡号的格式是否正确,并提醒用户输入正确的卡号。
假设Rotexy收到的指令是变身为勒索程序,它就会在手机首页上出现警告窗口,假冒为俄罗斯联邦安全局(FSB),宣称用户因定期观赏被禁播的视频而必须支付罚款,否则该手机就会被锁住。
有趣的是,要解决Rotexy的威胁也很容易,各种程度的受害者都能自行处理。由于它能够接收来自文本短信的命令,而且并未验证命令的来源,因此,只要用另一支手机发送短信到被黑手机就能解锁。
在研究人员破解了Rotexy的指令之后发现,只要发送“393838”到被黑手机上,就可将C&C服务器的地址变更成空白,它将停止遵从源自C&C服务器的指令,再发送“3458”则能解除Rotexy的管理权限,最后发送“stop_blocker”以强迫Rotexy移除挡在屏幕上的网站或警告。
虽然Rotexy仍然会继续纠缠用户以取得管理权限,但这时用户已确定它是个恶意程序,只要重新启动至安全模式,再到Application Manager或Applications and Notifications将它移除即可。