目前,手机在感染木马后主要几个特征:自动下载安装、色情弹窗、后台自动订阅、吸费扣费、读取用户的短信、成为僵尸网络的一部分(这个很难发现),甚至泄露网银的密码或信用卡交易信息。但恢复出厂和双清是不起作用的,因为木马联网后会自动复活。
有些手机木马很顽固,用现在市面上的一些手机管家、手机卫士查杀,反复查杀几遍,有时都解决不了这些问题。当然还有最后一种办法——刷机,一劳永逸解决问题。但大多数在有选择的情况下,是不愿意的。
手机银行木马现在可以说是近十年来最严重的网络威胁之一。仅2016年,卡巴斯基就检测出了超过77000个移动银行安装程序样本,且丝毫没有减退的意思。
手机银行木马到底是“什么鬼”
每一部智能手机其实都是一台小型计算机,和PC电脑一样不仅装有自己的操作系统和软件,同时也不幸成为恶意软件的攻击目标。手机银行木马是恶意软件世界中最危险的一种:他们专门从手机用户的银行账户内窃取资金。如果受感染设备能访问一些本地网络资源,攻击者也能有权访问这些资源,并利用智能设备窃取敏感数据。
并且受木马感染设备可作为僵尸网络的一部分使用,以请求获取特定IP地址。这一方法能让犯罪分子增加流量、生成横幅广告和收费URL的点击量以及组织DDoS攻击造成目标网站瘫痪。意味着,你的手机、平板很有可能成为僵尸网络的一部分,只是你不知道而已。遭黑客入侵的设备会同时做了两件事:一边像往常一样工作,另一边则执行犯罪分子的命令。
银行尚处于木马风险之下
钱都放在银行里,大多数人认为银行安全防护很强大,但目前看来,事实或许并不是这样。银行大家总所周知钱最多的地方,也是犯罪分子的“心头好”,相比以前真刀真枪的抢劫银行,现在犯罪分子更热衷于网络攻击。据DTCC最新调查显示,网络安全成全球金融业的头号公敌。
图:2016年第一季度互联网金融行业网络安全报告
10月俄罗斯网络安全公司Group-IB的联合创始人Dmitiry Volkov称:“2015年下半年和2016年上半年,犯罪分子直接从俄罗斯银行盗走了近4400万美元,比上年同期增长292%。在与俄罗斯银行有关的网络攻击案件中,针对银行的直接攻击占45%。”
2月黑客将攻击目标对准了6家俄罗斯银行,打算侵入这些银行的系统。他们使用了一种叫做Ratopak的木马程序,它能控制受害人的PC系统并窃取其数据,盗取银行用户和员工的资金。
9月安全研究专家发现了一款非常复杂的恶意软件 “Qadars”,它可以欺骗用户并获取到目标系统的管理员权限,目的就是为了窃取用户的银行数据。早在2013年至2014年,Qadars就曾攻击过法国和荷兰的银行。而在2015年至2016年之间,Qadars还对澳大利亚、加拿大、美国、以及荷兰等国的多家银行发动过恶意攻击。
图:Qadars在欺骗用户时所使用的虚假安全更新提示
据国外网站Csoonline报道,俄罗斯网络犯罪分子在本土进行了银行攻击测试之后,现在已经开始将攻击范围扩大到全球。一种新的移动木马正在全球扩散,世界手机银行安全威胁或将增加。
整个2016年,俄罗斯、德国和澳大利亚成为了手机银行木马的重灾区。在前10位国家排名中,紧跟其后的是韩国、乌兹别克斯坦、中国、乌克兰、丹麦、吉尔吉斯斯坦和土耳其。
谁会是移动端木马的目标
使用银行APP、支付软件、使用应用商店在线购物的智能手机用户,都会成为手机银行木马的攻击目标。其中安卓用户显然是最易遭受移动银行木马攻击的一群人,因为在这类木马中,有98%是以无处不在的安卓系统作为攻击目标的。
图:2015年手机银行木马在不同地区的数量
移动端木马如何潜入智能设备
网络犯罪分子的做法通常包括:在第三方应用商店发布恶意APP和发送含恶意URL地址的钓鱼文字讯息。随着大家安全意识的增强,不会再轻易点开手机短信链接,也会到官方站点下载APP,最大程度减小了“中招”的可能性。
手机银行木马就做了更为“精致”的伪装,网络犯罪分子将木马“乔装打扮”成合法APP放到官网上,诱使用户下载恶意软件。
例如:10月Google Play被曝内有超过400款APP(其它应用商店则有近3000款)被证明携带了DressCode木马病毒。大多数受感染APP都是游戏或游戏周边—例如,游戏攻略和游戏修改器。其它恶意APP则包括了大量性能提升器、优化器以及其它看似实用的工具。其实,Google Play里的所有APP在最终发布前均经过严格的多级审查,但有时也有流氓APP渗透到Google Play里面。
尽管部署了一系列安全防御措施,也没办法抵御所有威胁,并不能保证APP Store 100%的安全。因此安卓用户会频繁落入圈套,下载那些伪装成合法应用的恶意APP,这类恶意APP显然包括移动银行木马。例如:名声不佳的Acecard会伪装成合法的APP,然后继续执行恶意操作,收集受害者的银行卡姓名、信用卡的有效期、CVV码等。
那么,只有安卓用户才应该担心?苹果就不用担心手机银行木马了?确实到目前为止,还未听到过一例苹果感染银行木马案例,但恶意app却不断设法潜入App Store。例如,9月CNCERT发布了苹果官方XCODE存在植入恶意代码的预警公告。此次App Store上的TOP5000应用有76款被感染的,其中就包括了在中国相当流行的即时通讯工具——微信,预计受感染用户超过1亿!
iPhone手机用户也应该时刻保持警惕。由于苹果并不允许在iOS内安装杀毒程序,因此一旦碰到木马,用户只能自己独自面对这些威胁了。倘若iPhone手机越狱了,网络犯罪分子就更容易感染越狱的苹果设备,那将承受更大的安全风险。
木马如何窃取资金?
通常过程是这样的:一旦打开银行app,这类木马就会用自己的界面将原有银行app界面整个覆盖掉。只要用户输入登录凭证,恶意软件立即窃取相关的信息。
OpFake木马显然很强大,能模仿几乎100种银行和金融app。Acecard系列也同样强大:能模仿超过30种银行app或依照命令覆盖任何app的操作界面。2016年Asacub、 Svpeng和Faketoken几乎在俄罗斯泛滥成灾。
小心要求获得访问短信权限的APP
要想迷惑用户,移动银行木马必须伪装成银行APP伪装得非常像。最厉害的木马可以伪装成几十种银行APP、支付服务甚至是即时通讯工具。
在窃取资金过程中有一个关键性阶段:劫持发自银行系统的一次性密码短信(双因素认证的一部分),这也是为什么手机银行恶意软件需要获得访问短信的权限,因此你最好小心有要求短信权限的APP,木马能在几个月里分成若干次窃取资金,或立即掏空账户。
没有哪家公司或者合法应用会要求用户输入很多的个人敏感信息, 一旦超出正常范围,需要提高警惕。因为木马收集到了智能设备用户的姓名、出生日期、邮箱地址、信用卡正面照片、信用卡反面照片或者受害者手持信用卡拍的正面自拍照。银行转账,登录你的社交媒体账户等等,都会变得轻而易举。
如何判断智能手机是否感染病毒
1.最简单的方法就是查询银行账户是否有可疑的支付或转账。为此,建议定期查询银行交易账单。
2.可以使用类似卡巴斯基反病毒和安全软件,来扫描自己的智能设备。
如何保护智能设备的安全?
1.为自己的手机银行开启短信通知功能。并非所有银行木马都会劫持短信,但一般来说,这不失为一种监视自己账户的有效方式;
2.从官方应用商店下载APP,在安装未知app前,认真阅读用户评价和权限清单。官网上的所有用户评价不能全信,但至少能获得一些参考意见;
3.仔细查看每个APP请求的权限,请求访问短信权限的APP尤其需要注意;
4.安装一款智能设备的反病毒解决方案。
