电脑装配网

Wroba Mobile Banking特洛伊木马通过短信向美国传播

 人阅读 | 作者lilintao | 时间:2022-08-18 00:29

640.webp (9).jpg

漫游螳螂集团的目标是美国的恶意软件,可以窃取信息,获取金融数据和发送文本的自我传播。

Wroba移动银行特洛伊木马已经成为一个重要的支点,首次将目标对准了美国的人。

卡巴斯基的研究人员称,针对美国Android和iPhone用户的攻击浪潮从周四开始。这场运动利用短信传播,利用虚假的“包裹递送”通知作为诱饵。

短信里面有一个链接,上面写着:“你的包裹已经发出去了。”卡巴斯基的研究人员周五在电子邮件中提醒道:“请检查并接受它。”

如果用户单击链接,接下来发生的事情取决于设备使用哪个操作系统。点击将android用户带到恶意站点,而恶意站点又会向用户发出警告,称浏览器已经过时,需要更新。如果用户单击“OK”,接下来将开始下载带有恶意应用程序的特洛伊化浏览器包。

但研究人员称,在Android用户可以下载完整Wroba的地方,可执行文件在iPhone上不起作用。对于iOS用户,Wroba操作符将设计一个重定向到网络钓鱼页面。该页面模仿Apple ID登录页面,试图从Apple迷那里获取凭据,但没有安装恶意软件。

苹果有一半以上占美国智能手机市场份额的比例。

Wroba已经存在多年了,但以前主要针对APAC的用户。它最初是作为android专用的移动银行木马开发的,能够窃取与金融交易相关的文件,但后来扩展了其功能。研究人员认为,wroba背后的运营商是中国的,被称为“漫游螳螂”。

研究人员说,Wroba的最新版本可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易相关的文件、窃取联系人名单、拨打指定号码和显示假钓鱼页面来窃取受害者的凭据。

一旦感染了设备,Wroba就会使用它的一些功能--窃取的联系人列表和SMS功能--进行传播,使用受感染的设备通过发送带有恶意链接的SMS来进一步传播,据称是来自主机。

Lookout的安全解决方案高级经理汉克·施劳斯(HankSchless)表示:“Wroba展示了如何向设备交付恶意软件可以为攻击带来更长期的收益。”该公司也一直在跟踪Wroba。

他对Threatpost说:“证书获取链接只针对你一个目的,比如当你收到一条短消息说你的银行账户被破坏了,其意图是伪造你的银行凭证。”

他说:“另一方面,Wroba可以静静地坐在后台,随意地向您的浏览器发送凭据获取页面。”“只要不被注意到,它就可以尝试获取您的登录数据,即使是您最私密的帐户。”

研究人员说,自今年年初以来,这种恶意软件已经瞄准了世界各地的用户,主要集中在中国、日本和俄罗斯联邦。

卡巴斯基说:“美国目前并没有排在第一位,但似乎网络罪犯正走向这个地区,观看Wroba的用户数量还会增加。”“这一波是在10月29日被发现的,目标是美国不同州的用户(从这场运动的目标电话号码判断)。”

该公司补充道:“以前看到的针对APAC用户的活动,所以很有趣地看到网络犯罪分子如何扩大他们的目标。”

2018年,Wroba看到重大重启当它开始瞄准欧洲和中东以及亚洲国家的时候。卡巴斯基当时的研究人员说,它也扩大了它的能力,包括加密以及前面提到的iOS钓鱼策略。在那个时候,它是通过DNS劫持传播的,它将用户重新定向到一个恶意网页,就像在当前的活动中一样,它分发了一个特洛伊化的应用程序(当时,它假装是Facebook或Chrome)。

值得注意的是,漫游螳螂过去曾蜂拥而至美国。今年夏天被发现一个不同的短信网络钓鱼运动,传播虚假间谍信息窃取者。该恶意软件伪装成合法的全球邮政应用程序,还从受害者的设备上窃取短信、金融数据和更多信息。首先是针对韩国和日本人,然后扩大到中国、台湾、法国、瑞士、德国、英国和美国。

Schless告诉Threatpost,根据Lookout的数据,到2020年为止,88%的美国消费者网络钓鱼攻击是试图向移动设备提供恶意软件。

研究人员强调,为了避免成为wroba或任何其他移动恶意软件的受害者,用户应该使用基本的安全卫生,比如只从官方商店下载应用程序;在智能手机环境中禁用第三方来源的应用程序安装;避免单击未知发件人的可疑链接,甚至是来自已知发件人的可疑链接。

WhiteHat Security的首席安全工程师雷·凯利(Ray Kelly)告诉ThreatPost,“人们仍在设法避免通过电子邮件进行网络钓鱼攻击。”“现在,短信使事情变得更加复杂。短信应该和电子邮件一样对待,不要点击来自未知或可疑发件人的链接。“

9999.jpg


文章标签:

本文链接:『转载请注明出处』