首页
社区
课程
招聘
“游行者”木马新变种盯上色情网站用户
发表于: 2016-4-25 13:54 2283

“游行者”木马新变种盯上色情网站用户

2016-4-25 13:54
2283
新闻链接:http://www.seehand.com/news/1469.html
新闻时间:2016-3-30
新闻正文:信息安全世界里,木马更新换代的速度比好莱坞演员陨落的节奏还快,游行者木马Marcher Trojan就是一个例子。根据安全公司Zscaler的一项报告,已有三年历史的Marcher已经发展出了专门针对浏览色情网站的安卓用户的新变种。

   上个月,研究人员发现了Marcher新发动的一轮活动,攻击者试图以推广色情网站的方式在安卓设备中安装恶意软件,进而下载被恶意软件感染的有效负载,例如Adobe Flash Installer Package安装包。

  “我们已经检测到超过50个遭受这一攻击的有效负载,”Zscaler在其于周二的公告中写道。Zscaler告诉Threatpost网站,它还掌握了一些通过重新定向到popcash[.]net 广告网络而安装的Marcher恶意软件。

  Zscaler 表示,Marcher已经演化成为一个复杂的安卓恶意软件,充分掌握了用户设备的应用文件。“这是我们见到的第一轮结合了色情诱饵和“假冒” Adobe Flash Player更新的Marcher变种。”

      尽管Marcher攻击的方式是新的,但它的目标却从未变过。“这个恶意软件还一如既往——它展示一个虚假的Google Play商店支付页面,窃取用户的财务信息。”Zscaler写道。

  几年来,Marcher木马一直利用安卓设备上的虚假Google Play和银行登录页面针对潜在受害者。该木马通过第三方APP网站、短信发送的恶意链接、博客地毯式攻击以及使用URLs将流量引入布好陷阱的安卓APP托管主机的社交媒体网站进行传播。

  研究人员报道说,受害目标会受到色情主题邮件或含有恶意网站链接的短信息。这些网站通过弹出式消息向游客推广,诱导下载Adobe Flash Player更新。为了对受害者增加可信度,攻击者会使用“AdobeFlashPlayer.apk.”这样的名称。当用户试图安装“AdobeFlashPlayer.apk.”时,他们会被要求勾选安卓安全设置下“从未知来源安装软件”的选项。随即恶意软件就会向受害者要求获取管理权限,Zscaler说道。

  Zscaler报道称,感染成功以后,Marcher木马链接安卓设备与攻击者指令并控制服务器,允许攻击者浏览已经在设备中运行的应用程序列表。另外,研究人员表示,“我们也观测到一个独特的方式,即(指令和控制)服务器发送回复,在被感染设备上生成一个多媒体信息,显示‘您已收到一条多媒体信息’并要求用户访问‘mms-service[.]info/mms’网站以查看该信息。”

  访问该链接的受害者随即被重定向至Google官方的Google Play商店,并被诱导安装免费X-Video多媒体APP。该APP的最近访问用户留言大部分是负面消息,抱怨APP在安装前就闪退,或者安装后根本无法登陆。Zscaler表示,这个X-Video并不是恶意软件,当安全研究人员向Google安卓团队提示这一APP的危险性时发现,它拥有Google的检疫合格证书。

  下载这一免费X-Video 软件后,Marcher木马随即展示一个虚假Google Play支付界面,要求用户更新它们的Google Play信用卡信息。

  研究人员表示,要确定究竟有多少Marcher受害者是不可能的。但是,他们也指出,Google Play上X-Video软件的下载数据显示,它已被下载至少10万次。

  Zscaler称,访问Google Play和下载X-video app并不是攻击的必须步骤。任何导致打开Google Play商店APP的活动都将触发虚假支付界面的出现。

  “恶意软件作者推动重定向至官方Google Play商店和X-Video APP,这是Marcher的一个新策略。”Zscaler告诉Threatpost网站。研究人员分析认为,这一重定向很有可能强迫Google Play商店APP的登录。

  据该公司表示,与Marcher色情攻击有关的新型变种向安卓用户展示虚假的网上银行登录页面,根据受害者已经安装在其安卓设备中的软件。

“虚假银行登录界面仅在设备中已经安装了相关网上银行app的情况下出现。”Zscaler说道。

  研究人员表示,这是前所未有的。“Marcher新增了大量金融机构的支持,并且将只针对那种安装了可以大幅增加攻击成功几率的app的受感染移动设备。”

  Zscaler指出,感染了Marcher的症状主要包括突然出现虚假的Google支付页面,不输入你的信用卡信息就不能登录Google Play商店。

  另外,Zscaler建议那些想要检查自己设备是否已经感染的用户进入设置-安全-设备管理。用户应当寻找一个正在运行的应用,名为“Device Admin”,并且带有Adobe Flash player标志。

  “如果找到了,你可以点击这一app并停用它,以收回管理权限。然后yoghurt可以进入设置-应用管理- AdobeFlashPlayer-卸载,卸载这一恶意软件。”Zscaler表示。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//