第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称,中国的恶意软件开发者正在使用伪基站(BTS)发送包含Android恶意软件链接的恶意短信。

这是恶意软件开发者使用基站传播恶意软件的第一起案例,也是Avast 2014年发布的趋势预测中的一种可能,只是直至目前才得以实现。

通过假基站传播Swearing木马

利用这种方式传播的Android恶意软件名为“Swearing”,之所以称为“Swearing”是因为它的源代码中包含很多中国骂人的话。

来自腾讯安全的研究人员发现,这种恶意软件只在中国活跃。

Swearing组织部署其恶意软件的方式与其他任何Android恶意软件相比都是独一无二而又见所未见的。

攻击者正在使用流氓BTS设备将附近的移动设备诱骗至一个单独的移动网络中。在这里,他们会向受害者发送看起来像是来自移动提供商的SMS短信。

研究人员发现,攻击者主要伪装像中国移动和中国联通这样的提供商发送欺诈短信。

SMS信息中包含用户必须安装的恶意APK(Android应用程序)文件的链接。

因为GooglePlay Store在中国是被封锁的,大家已经习惯安装来自不受信任源提供的APK文件,所以如果你能让用户成功访问该URL,那么接下来要进行的社会工程就不是什么难事了。

“Swearing”是一个全面的威胁

这些APK中包含“Swearing”木马,它是一种全面的威胁,可以从受感染的设备中收集用户个人数据,发送钓鱼邮件来收集登录凭证,以及拦截SMS信息来绕过中国银行机构使用的双因素认证系统或其他一次性代码系统等。

腾讯表示,在某些情况下,Swearing恶意软件团伙会使用不同的主题进行短信诱骗,例如发送配偶出轨照片的链接或视频,或是根据最新的热门事件发送名流女星艳照链接等。

尽管如此,最有效的诱饵往往还是看似最正规的短信信息,如伪造电信提供商或银行机构发送SMS短信通知用户根据链接下载他们的移动应用程序的更新程序等。

虽然去年中国当局已经逮捕了Swearing恶意软件团伙中的部分成员,但是之后,攻击者使用Swearing恶意软件和蜂窝基站的攻击事件还是时有发生。

Swearing恶意软件有望在全球范围内传播

近日,Check Point报道称,稍微修改过的Swearing恶意软件正在发起新一轮攻击。

这家以色列安全公司还援引了HummingBad的案例,去年 2 月,Check Point 监测到了 HummingBad 的存在,它是一个以下载量为驱动的恶意软件,感染之后,用户在使用手机浏览网页的时候可能会被跳转到色情内容。

而这还不是最致命的,首先 HummingBad 会试图获取手机的超级控制权限,如果成功的话,HummingBad 会尽可能多地下载安装带有病毒的应用程序。

如果不成功的话,HummingBad 会伪装成虚假的系统更新提示,向用户索取系统级别的许可权限。

该Android木马也是开始于中国移动恶意软件市场,随后开始蔓延全球,据悉,至少有 1000 万用户正在使用被恶意程序感染的应用,中国和印度的 Android 手机被感染得最多。

就像HummingBad恶意软件一样,利用Swearing恶意软件的攻击活动预计也将传播至全球其他国家,尤其是使用BTS设备来诱骗用户安装恶意软件的有效载荷将进一步推动这种蔓延趋势。

2016年8月,移动安全公司Zimperium发表了研究报告强调称,许多移动电信提供商使用BTS设备中的大量漏洞。攻击者可以使用这些漏洞来接管现有的蜂窝塔,这就意味着他们不一定需要购买定制的BTS设备来传播恶意软件。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-03-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏域名资讯

一域名一年前六位数终端易主 是为了......

一年前,域名Acuris.com被曝以4.4万美元,超30万元终端易主,现如今已建站。域名Acuris.com在英文语境中并无特别含义,但是却对应西...

19710
来自专栏腾讯游戏云的专栏

一个域名引发的血案……

6月29日凌晨,无数球迷正放下小龙虾、握紧啤酒杯,屏气凝神观看三狮军团英格兰鏖战欧洲红魔比利时。

66213
来自专栏机器人网

IBM新专利:空中完成无人机对接交换包裹

在未来的快递运输中无人机将会扮演重要角色,而需要克服的问题是飞行时间有限,存在被窃风险,以及如何有效管理复杂的运输网络等等。为了解决货运无人机的飞行距离以及防止...

3536
来自专栏嵌入式程序猿

你的蜂鸣器是有源的还是无源的?

蜂鸣器和LED在嵌入式开发中经常用来做声光报警输出,LED比较简单,蜂鸣器在驱动的时候要注意区分是有源蜂鸣器还是无源蜂鸣器,有源蜂鸣器驱动比较简...

4545
来自专栏FreeBuf

Petya真的没那么简单!北约呼吁发起联合调查,US-CERT发布警报

北约(NATO)认为Petya大规模袭击可能是国家层面的攻击。Petya和WannaCry这种严重的网络安全问题需要国际社会联合响应。 NATO认为近期大规模传...

2865
来自专栏FreeBuf

Forrester公布2016年数据泄露之最:MySpace称第一,阿里巴巴排第二

本已处于休眠状态的MySpace最近因为黑客又火了一把,据统计,在2016年该社交媒体共有4亿2千7百万账号被窃取。 据Forrester报告所说,这项纪录遥...

2809
来自专栏安恒信息

安恒信息APT攻击(网络战)预警平台2018年勒索病毒检测分布

2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而20...

1573
来自专栏安恒信息

2014前网民有必要知道的十大网络威胁(下)

五、GSM(2G)短信可能被监听   这事2013年之前几乎没人知道,其实国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内...

2755
来自专栏FreeBuf

京东千万条账户数据泄露?京东回应称系2013年的漏洞所致

昨天晚间,来自网络媒体一本财经的消息,12GB京东账户数据在暗网流通,数据多达数千万条。据说本次泄露的账户数据包括了用户名、密码、邮箱地址、QQ号、电话号码、身...

2945
来自专栏FreeBuf

瑞星2016年中国信息安全报告

免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2...

3576

扫码关注云+社区

领取腾讯云代金券