网银木马病毒:手机的主要网络威胁

智能手机目前依然处于蓬勃发展的阶段。在过去的几年中,消费者使用的移动设备中,超过50%是智能手机。然而这也导致了一个相当严重的问题:手机网络威胁。尽管几乎所有电脑用户已习惯至少遵守最基本的”安全卫生”准则,但大多数智能手机用户思维依然停留在手机只是”单纯打电话”的工具,与熨斗或洗衣机等家电并无二异–那到底有没有说的那么危险呢?

智能手机目前依然处于蓬勃发展的阶段。在过去的几年中,消费者使用的移动设备中,超过50%是智能手机。然而这也导致了一个相当严重的问题:手机网络威胁。尽管几乎所有电脑用户已习惯至少遵守最基本的”安全卫生”准则,但大多数智能手机用户思维依然停留在手机只是”单纯打电话”的工具,与熨斗或洗衣机等家电并无二异–那到底有没有说的那么危险呢?

如今的智能手机与一台完整的电脑并无区别,甚至功能性比10年前我们使用的电脑还要强大许多。毫不夸张地说,这是一部极具危险的掌上计算机。可能你电脑的硬盘不会存放任何有价值的数据,只是些多年前大学里写的研究论文和近期度假拍的照片,但智能手机就不同了,很可能内含数据无论对你自己还是网络犯罪分子都极为重要。

一般来说,智能手机和银行卡都是我们日常生活不可或缺的东西。由于银行通常需要使用手机号码进行验证(通过短信发送一次性密码),因此网络犯罪分子完全有可能偷偷潜入这一通讯渠道,然后执行非法支付以及从你的银行账户中转走资金。

因此,银行木马病毒无疑是最显著的一种手机威胁:超过95%的手机恶意软件均属于这种。同时,超过98%的手机网银攻击将安卓手机作为攻击目标,这同样不让人感到意外。安卓不仅是全球最流行的手机平台(占据全球超过80%的智能手机市场份额),而且在所有流行的手机平台中安卓是唯一一个允许侧载软件的。

尽管木马病毒相较于普通病毒危险性较低,原因在于它们需要用户的主动操作才能潜入系统,但借助许多有效的社交工程技术,依然能诱使受害人点击模仿系统重要更新或最喜爱手机游戏奖励的木马程序。此外,一旦用户不幸执行了恶意文件,借助大量漏洞利用工具也能让恶意软件自动运行。

通常来说,网银木马病毒主要采用三种攻击方法:

• 隐藏文本:手机恶意软件通过隐藏发自银行的短信并转发给网络犯罪分子,从而将资金转账到自己的银行账户。

• 小额资金转移:恶意软件攻击者偶尔会从受感染用户银行账户转移小额资金到欺骗性账户。

• “山寨”应用程序:一些恶意软件会模仿银行的手机应用程序,在获取用户登录凭证后随即登入官方应用转走资金,只需简单的两步

大多数网银木马病毒(超过半数)将攻击目标锁定在俄罗斯和独联体国家,此外还包括印度和越南。这些网络犯罪分子能够从来自美国、德国和英国这些不同国外银行的网站下载更新的配置文件。

Zeus(又称Zitmo,即Zeus-in-the-mobile)可以说是所有网银木马的鼻祖,早在2010年就已出现(其电脑上的始祖也成为Zeus,2006年出现)。仅在美国一国,该恶意软件就感染了超过350万部智能手机,创造了迄今为止最大僵尸网络的记录。

Zeus是一种典型的数据劫持程序,通过保存用户在手机网银界面输入的登录凭证并发送到网络犯罪分子手中,他们得以用盗取的登录凭证登入系统并执行各种流氓交易(甚至还能利用Zitmo绕过双因素认证)。

此外,正是得益于Zeus的强大能力,网络骗子们竟然从各家网站(包括美国银行)窃取7.4万个FTP(文件传输协议)密码,并通过篡改代码使得在受害人每次尝试支付时即能提取信用卡数据。Zeus可谓在当时风靡一时,而直到2013年末由于当时最新的Xtreme RAT出现才逐步退出历史的舞台,但恶意软件工程师在设计木马病毒时的核心思想依然并未改变。

2011年我们见证了SpyEye的”横空出世”;它可以说是有史以来最成功的一款网银木马。其作者Alexander Panin将代码在黑市上出售,售价在1000美元到8500美元之间。根据公布SpyEye作者名字的FBI(美国联邦调查局)的说法,那些购买后稍加修改即从不同银行窃取资金的网络骗子多达150人。其中一名在短短半年的时间内就成功窃取了超过320万美元的资金。

到了2012年,另一种网银木马– Carberp被发现。该木马病毒能模仿包括:俄罗斯联邦储蓄银行和阿尔法银行在内的俄罗斯多家大型银行的安卓应用程序,并将这些银行分布在俄罗斯、白俄罗斯、哈萨克斯坦以及乌克兰的客户作为攻击目标。令人吃惊的是,这些网络犯罪分子竟然还成功在Google Play上发布了伪造官方应用程序的木马。

最终这个由28名成员组成的网络犯罪小组在一次俄罗斯-乌克兰”联合攻击”时被成功抓捕归案。但Carberp的源代码早在2013年就已公布在互联网上,因此任何不法分子都可以用来编写自己的恶意软件。同时尽管Carberp最初版本在前苏联国家编写,但其克隆版目前已遍布全球各地,包括:美国、欧洲和拉丁美洲。

2013年,遭受Hesperbot木马病毒攻击的受害人相继曝光。该恶意软件最初在土耳其出现,之后通过葡萄要和捷克共和国传播到世界各地。除了会造成智能手机各种常见故障以外,该木马病毒还会在手机上创建一个隐藏的VNC(虚拟网络计算机)服务器,从而能偷偷授予网络攻击者远程管理手机的权限。

甚至在该木马被清除以后,网络攻击者依然拥有远程访问权限并能劫持手机上发送和接收的所有消息,实现了对手机的完全掌控,同时还不断寻找机会安装其它恶意软件。此外,Hesperbot不仅仅是网银木马,同时还扮演了比特币”掠夺者”的角色。Hesperbot主要是通过模仿电邮服务的网络钓鱼活动进行传播。

Android.iBanking的源代码在2014年被泄露到互联网上。iBanking是一整套用于劫持短信的端对端工具,可以远程对手机进行管理,售价高达5000美元。该恶意软件代码一经公布随即引发了喷井式的病毒感染。

这一整套工具包括了代替合法网银应用程序(原应用依然保留了原先功能,但经过修改后增加了额外功能)的恶意代码,以及能够控制手机清单(自动更新,不断加入新受害人)中所有受感染智能手机的Windows程序,该程序带有便利的图形用户界面。

尽管该套工具的免费版本平台到处可以看到,但收费版本则要远比前者要流行得多,这一点着实让人称奇。收费版用户将能获得定期的产品升级以及客户支持服务。2014年末,又在巴西版的Google Play上发现了超过两个木马程序,且编写时没有用到任何特殊编程技巧–单纯基于目前提供的通用工具编写。

提到网银攻击,不可不提巴西,这是一个相对特殊的国家。从Boleto手机支付系统在巴西的流行程度可见一斑。该系统能通过含有唯一支付ID的虚拟支票让一名用户向另一名用户转账,其原理是:首先将这一支付ID转变为可显示条形码,然后由收款人用开启摄像头的手机进行扫描。

一些特殊编写的木马将Boleto用户(类似于Infostealer.Boleteiro)作为攻击目标,一旦受害用户的手机浏览器内自动生成的虚拟支票,就立即进行篡改并发送给网络攻击者。

此外, 该木马还会对在银行网站以及网银应用程序上Boleto系统内输入的ID进行监视(在系统内使用账户交易时),并偷偷将合法ID替换成流氓ID。

2015年6月,一种全新的木马病毒在俄罗斯被发现,即Android.Bankbot.65.Origin。它会将自己伪装成已打上安全补丁的俄罗斯联邦储蓄银行在线应用程序并提供’更广泛的手机网银功能’,只需在’更新版本’安装完成后即可”实现”。

事实上,该应用程序仍旧保留了正常功能的手机网银工具,因此用户不会注意自己账户交易的发生。结果在7月份,有10万名俄罗斯联邦储蓄银行客户不幸中招,报告的损失金额总计达到20亿卢布。所有受害客户无一例外都使用了流氓”Sberbank Online”应用程序。

毫无疑问网银木马的历史依然在书写:随着越来越多新应用程序的出现,网络攻击者所能使用的网络攻击技术也越来越高效,不断能诱使无辜用户掉入他们的欺诈圈套中。因此,现在是时候对你的智能手机进行正确安全防护了。

卡巴斯基实验室实习生David Nasi访谈录

David,这一切好像恍如隔日,我依然还清晰记得当时我走到你的办公桌前并带你参观了整个卡巴斯基实验室的情景。时光飞逝,两个月眨眼间过去了,你的实习期也即将告一段落。非常感谢你能坐在这里回答我们你在整个实习期间所经历的事情。

提示
注册