Rotexy木马:兼具银行木马与拦截器功能

2018 年11 月26日
每日文章

Rotexy是兼具银行木马和勒索软件拦截器功能的一种移动恶意软件。最近,Rotexy的触角大幅延伸,在整个8月和9月,据我们专家的记录,在Android智能手机上植入这款恶意应用程序的尝试次数达到40,000多次。我们已经在Securelist上发布了这只恶兽的一些技术细节和来历,在本文中我们将探索感染源以及如何免费将其删除 — 只需使用几个简单的短信。

Rotexy银行木马工作原理

Rotexy通过短信传播,其中包含应用程序下载链接和一些吸引人的文本,这些内容会提示用户点击链接并下载应用程序。在某些案例中,这些消息是从朋友的电话号码发过来的,因此用户毫无防备就点击了链接。

感染设备后,该木马需要做一系列准备工作才能采取下一步行动。首先,Rotexy会检查登录到的是什么设备。这样做的目的是为了给反病毒研究人员的工作造成障碍:如果恶意软件检测到是在仿真器中运行,而不是在真正的智能手机上运行,它就会无限循环应用程序初始化过程。在目前版本的Rotexy中,如果检测到设备在俄罗斯之外的地区,也会发生同样的情况。

只有确认被感染设备满足上述基本要求后,Rotexy才会开始行动。第一步是请求管理员权限。理论上来说,用户可以拒绝授予管理员权限,但是该请求会反复出现,导致用户无法正常使用手机。通过此计谋成功取得管理员权限后,Rotexy会通知用户该应用程序加载失败并隐藏其图标。

在此之后,恶意软件会与攻击者联系,向他们提供该设备的信息。然后会接收下一步行动的指令以及一组模板和文本。默认情况下,会Rotexy直接与C&C服务器通信,但其创建者会采用其他方式来通过Google Cloud Messaging和短信发送命令。

短信窃贼Rotexy

仅仅收到短信Rotexy还不满足。在被感染手机收到短信时,Rotexy会切换为静音模式,这样受害者就不会注意到设备接收到了一条新短信。然后,Rotexy会拦截该短信,根据从C&C服务器收到的模板对其进行检查;如果短信中包含任何隐私信息(例如,手机银行短信通知中卡号的最后一位数字),则将其存储并转发给服务器。此外,Rotexy还能代表机主回复这类短信:回复文本也包含在模板库中以供需要时使用。

如果由于某种原因没有收到来自C&C服务器的模板或指令,Rotexy只会保存被感染智能手机上的所有短信,然后将其转发给主服务器。

最重要的是,根据网络犯罪分子的命令,Rotexy可以把下载链接发送给被感染手机通讯录中的所有联系人——这是Rotexy的主要传播方式之一。

银行木马Rotexy

短信窃取并不是Rotexy的唯一手段,甚至算不上是主要手段。Rotexy主要是通过窃取银行卡数据为攻击者牟利。为此,它会在屏幕上覆盖了一个网络钓鱼页面,其中包含接收到的文本以及短信拦截指令。页面的外观可能会有所不同,但内容差不多,都是通知用户收到了一笔转账,需要输入信用卡详细信息才能收款。

为了让受害者相信,Rotexy开发者专门构建了一道检查来验证信用卡号。首先,它会验证信用卡号是否正确(你可能并不知道,卡号中的数字不是随机的,而是根据某些规则创建的)。接下来,Rotexy会从拉截的银行短信中提取卡号的最后四位数字,并将其与在网络钓鱼页面上输入的数字进行匹配。如果不匹配,则Rotexy会提示用户输入正确的卡号。

勒索软件Rotexy

有时Rotexy会从C&C服务器接收其他指令,执行不同的方案。例如,它不显示网络钓鱼页面,而是改为显示覆盖智能手机屏幕的威胁性窗口,要求受害者支付”观看违禁视频”的罚款。

Rotexy模拟更新安装,之后会覆盖智能手机屏幕,并要求支付

Rotexy模拟更新安装,之后会覆盖智能手机屏幕,并要求支付”经常观看违禁视频”的罚款

照片”证据”以色情剪辑图像的形式附加。与移动勒索软件的情况一样,网络犯罪分子会假装自己是某个官方机构的执法人员。Rotexy特别提到”FSB互联网控制局”(但其实,俄罗斯并没有这样的单位)。

如何解锁感染了Rotexy木马的智能手机

好消息是,被感染的智能手机无需专家帮助就能解锁并从手机上删除Rotexy。如上所述,Rotexy可以通过短信接收命令,这些命令不需要从特定号码发送,任何号码都可以。这意味着,如果您的智能手机被感染,无法关闭恶意窗口,您只需使用另一部手机(朋友的或亲戚的手机)并遵循我们的说明操作:

  • 向手机发送短信”393838″。Rotexy会将此解释为将C&C服务器地址更改为空的指令,这将停止接收网络犯罪分子的指令。
  • 然后向手机发送短信”3458″。这将取消Rotexy的管理员权限,使其无法再控制您的设备。
  • 最后,向手机发送短信”stop_blocker”:此命令将强制Rotexy删除覆盖屏幕的网站或页面。
  • 如果在此之后,Rotexy木马再次请求您授予管理员权限,您只需以安全模式重启设备(请参阅此处了解如何操作),转至应用程序管理器应用程序和通知(不同版本的安卓手机的设置布局方式有所不同),并从设备中删除该恶意软件 – 现在没有任何阻力。完工!

请注意,解锁智能手机的说明基于对当前版本Rotexy的分析;在未来版本中可能会有所不同。有关Rotexy木马的更多技术细节,请访问Securelist上发布的报告

如何防范Rotexy和其他移动木马

在结束之前,我们需要提醒的是,最重要的是阻止恶意软件进入智能手机,这让您浪费的时间更少,减少神经紧张的机会。避免感染并不困难,主要是遵循下列简单的规则: