粗口木馬詐騙集團雖落網！唯手機惡意軟件仍流傳

粗口木馬詐騙集團雖落網！唯手機惡意軟件仍流傳

作者: Check Point 以色列捷邦安全軟件科技有限公司賀飛翔

騰訊移動安全實驗室近日公佈了「粗口木馬」病毒的詳情，這款網銀惡意軟件一度大幅肆虐中國用戶，因其代碼中含有粗話而得名。「粗口木馬」曾感染了很多在中國的 Android 手機用戶，竊取他們的敏感銀行帳戶和其它個人私隱資料。

與先前發現的網銀木馬病毒相似，「粗口木馬」能繞過雙重驗證（2FA）的安全防護，然後盜取用戶的個人訊息。銀行的手機網銀應用一般是採用 2FA 來作為安全登入的保護，通過手機短信向用戶發送一個一次性的密碼，加上用戶需要輸入其自己擁有的密碼，形成雙重保障。「粗口木馬」的犯罪分子向用戶發送附帶釣魚網址的短訊，取代原有的 Android 短訊應用，令雙重驗證保護失效。

「粗口木馬」採用兩種方法作惡：

一旦用戶在手機點開連結含有病毒的下載程序，就會立即啟動「粗口木馬」。犯罪分子往往通過偽基站，偽裝為營運商的客户號碼，向用戶發送帶有釣魚網址的短訊。

利用偽基站發送虛假訊息是十分狡猾的操作，此外，詐騙短信的內容極易令人相信，短信的內容誘導用戶點擊含有病毒的下載程序。在某些個案，詐騙短訊的內容更加入情愛元素，引誘用戶陷入圈套。

用戶一旦安裝了病毒程序，由於只需啟動任務管理器、只需要鎖定屏幕而並無其它應用權限控制，用戶便完全放鬆警惕。安裝完成後，該惡意軟件便會自動發送釣魚短訊給受害者的聯絡人作進一步散播。

「粗口木馬」散播網絡釣魚騙局的手段五花八門：

工作文件：一條偽裝來自用戶經理的虛假短訊，命令用戶立即下載並且打開一個重要文件，以便回復他在文件中的備註。

照片或視頻：這類虛假短訊聲稱附有一幅某個紀念活動的圖片，或者是用戶配偶的外遇照片。

熱點新聞：最近一個例子是偽裝成短訊，內容聲稱是關於某個名人的妻子在偷情時被撞破的視頻。

程式更新通知：一條聲稱來自銀行或營運商的短訊請求用戶安裝重要更新。

「粗口木馬」不需要和遠程命令和控制服務器溝通，它只需通過手機短訊和郵件便可向攻擊者發送指令，這種操作方式很好地掩飾了其通訊及作惡的痕跡。

雖然騰訊的安全報告指出「粗口木馬」的詐騙團夥已被警方拘捕，有鑑於此，現在落網的歹徒只是傳播該惡意軟件的龐大集團中的一小部份。

從 2016 年 9 月 1 日起，中國政府已加強推行所有手機號碼的身份註冊實名制。如未能在截止日期前向營運商提交真實身份訊息，其手機號碼將會被停用。這項新規定大幅度削弱了「粗口木馬」利用虛假手機號碼傳播的能力。然而，該種惡意軟件仍然可以通過電子郵件進行網絡釣魚。

在騰訊的報告中，指出「粗口木馬」只利用了 21cn.com 的郵箱地址進行攻擊。Check Point 研究員現在卻檢測到，該惡意軟件已使用其它熱門的中國電郵服務供應商作惡，包括 163.com，sina.cn 和 qq.com。

截至 2017 年 3 月，Check Point 觀察到「粗口木馬」的變種仍在外猖狂，最新趨勢是它們使用阿裡雲和其它郵件帳號託管雲服務，如 qwewa.com 和上海美橙科技信息發展有限公司等散播。當中有些郵箱地址還使用手機號碼當作用戶名，有鑒於郵箱地址的手機號碼和短訊中的真實手機號碼不一致，因此推斷「粗口木馬」變種至少進行了兩次改頭換面。

過去在中國市場發現的很多流動設備惡意軟件，例如 HummingBad，是此等病毒的「前輩」，它們仍繼續在全球範圍內傳播。「粗口木馬」通過偽基站和自動釣魚短訊廣泛散播。這些威脅都可能被西方的惡意軟件所採用。