在过去3个月中,卡巴斯基实验室的专家一直在对一种被称为Obad.a木马的安卓恶意应用的传播手段进行调查。调查显示,该木马幕后的网络罪犯使用了一种全新的感染手段对该恶意软件进行传播。这也是手机网络犯罪历史上,首个利用其他网络犯罪集团掌控的僵尸网络进行传播的木马程序
在过去3个月中,卡巴斯基实验室的专家一直在对一种被称为Obad.a木马的安卓恶意应用的传播手段进行调查。调查显示,该木马幕后的网络罪犯使用了一种全新的感染手段对该恶意软件进行传播。这也是手机网络犯罪历史上,首个利用其他网络犯罪集团掌控的僵尸网络进行传播的木马程序。目前,Obad在CIS(独联体)国家传播最为广泛,其中83%的感染均发生在俄罗斯。此外,乌克兰、白俄罗斯、乌兹别克斯坦和哈萨克斯坦等国家的移动设备上同样检测到这一木马。
调查显示,Obad的多种版本采用了一种有趣的传播模式,即利用Trojan-SMS.AndroidOS.Opfake.a进行传播。这种双重感染手段一般通过向用户发送短信来进行。短信会提示用户下载一个最新收到的短信息。如果受害者点击了短信链接,会自下载动一个包含Opfake的文件到用户智能手机和平板电脑。而用户启动该恶意文件,恶意程序就会安装。一旦其成功运行,木马会向被感染设备中的所有联系人发送短信。如果接收到这些短信的用户点击其中的链接,就会下载Obad.a木马。这是一种非常有效的传播系统。一家俄罗斯移动网络供应商声称,仅在5小时内,网络内就出现超过600条包含此类恶意链接的短信,这表明其传播规模非常可观。大多数情况下,该恶意软件会利用已经被感染的设备进行传播。
除了利用手机僵尸网络进行传播外,这种高度复杂的木马还能够通过垃圾短信进行传播。这也是Obad.a木马的主要传播途径。通常,手机用户会接收到一条提示用户“欠费”的短信,如果用户点击了其中的链接,就会自动下载Obad.a到移动设备。同样地,只有用户运行下载文件,才会将木马安装到设备上。
与此同时,一些假冒的应用商店同样会传播Backdoor.AndroidOS.Obad.a。这些在线应用商店会抄袭Google Play的页面,并将其中的合法应用链接替换为恶意应用链接。当合法网站被黑客攻陷后,用户就会被重定向到恶意网站。Obad.a仅针对移动用户发起攻击,如果用户使用家用计算机访问恶意网站,则什么都不会发生。但是如果使用移动操作系统的智能手机和平板电脑访问,就会被重定向到假冒的恶意网站(目前只有安卓用户面临感染风险)。
“3个月期间,我们共发现12种不同版本的Backdoor.AndroidOS.Obad.a。这些恶意程序全都具有相似的功能以及较高水平的干扰代码。每个版本的恶意程序都会利用安卓操作系统的漏洞,使得恶意软件具备设备管理员权限,使得清除非常困难。发现上述情况后,我们立即通知了Google公司。Google已经在安卓4.3中修补了上述安全漏洞。但是,现在只有少数最新的智能手机和平板电脑运行这一版本的安卓系统,运行较早版本安卓系统的设备仍然面临风险。同其他安卓木马不同,Obad.a使用大量未公布的漏洞进行感染,这一点同Windows恶意软件非常相似,”卡巴斯基实验室顶级反病毒专家Roman Unuchek解释说。如需了解更多关于Obad.a的传播手段详情,请访问securelist.com。
网友评论