2013年9月6日 星期五

全球首例:經由行動殭屍網路散播的Android木馬出現

全球首例:經由行動殭屍網路散播的Android木馬出現

防毒方案商卡巴斯基(Kaspersky Lab)研究報告指出:「首度出現透過殭屍網路來散播的惡意程式,而且是透過與以往截然不同之行動惡意程式所產生的殭屍網路來散播。」


卡巴斯基將這次惡意程式的主角「Backdoor.AndroidOS.Obad.a」形容為「迄今最精緻複雜的Android木馬」。

該俄羅斯防毒軟體公司同時表示,光就複雜度與其採用之零時差安全漏洞的數量而言,Obad.a比起其他Android木馬,更趨近像是Windows惡意程式。

卡巴斯基安全專家Roman Unuchek撰文指出,雖然Obad.a採用一般Android木馬的感染途徑,像是簡訊(又稱為短信、垃圾訊息)、偽照的Google Play商店,抑或遭破解或其他不可信的Android軟體下載網站等,但其最新攻擊手法,仍比一般Android木馬更具感染性。

可能的情況會是,Obad.a會連同像是「SMS.AndroidOS.Opfake.a」之類的其他行動木馬來加以散播。其通常會假伴成其它受歡迎的程式,如此一來,便能透過一般的途徑來感染Android裝置。

一旦就緒,Opfake.a會透過Google雲端通訊(Google Cloud Messaging, GCM)服務,將文字訊息發送給使用者,訊息內容及連結如下:MMS message has been delivered, download from www.otkroi.com.(多媒體簡訊已發送,請至www.otkroi.com下載)

一旦使用者點取該連結,名為mms.apk並內含Opfake.a木馬的檔案,會自動載入至智慧型手機或平板電腦中。接著,使用者必須夠白目地執行該下載檔。如果真的執行了,殭屍網路C&C主控伺服器便會指示木馬將以下訊息,發送給受害者通訊錄中的所有連絡人:You have a new MMS message, download at – http://otkroi.net/12.(你有新的多媒體簡訊,請至http://otkroi.net/12下載)

如果使用者點取該連結,在Obad.a木馬自動下載後又加以執行的話,那麼就會淪為這起攻擊事件的受害者。

資料來源:ZDNet
轉載自《網路資訊雜誌》