仅3个月，移动木马 Rotexy 就发动了7万多次攻击

编译：360代码卫士团队

一款由移动间谍软件变身为具备勒索软件能力的银行木马设法在3个月的时间里发动了7万多次攻击。

这款木马是 Rotexy，此前被称为 SMSThief 间谍软件。

卡巴斯基实验室指出 Rotexy 首次现身于2014年，且在最初版本时功能十分丰富。

Rotexy 的与众不同之处在于，它同时使用三个独立的通信信道接收命令。研究人员发现它能够通过谷歌云通讯 (GCM) 服务获得指令，以 JSON 格式向移动设备传播信息。不过遭谷歌废弃，该信道从2019年4月11日之后就不起作用了。

Rotexy 向受攻陷目标传输命令的另外一种方法是通过 C2 服务器。这种方法是多数恶意软件使用的。第三种方法基于 SMS，允许操纵者通过向受感染手机发送文本信息的方法控制恶意软件的动作。

Rotexy 的最新版本针对的多数用户位于俄罗斯，尽管卡巴斯基在乌克兰、德国、土耳其和其它国家也发现了受害者。

卡巴斯基实验室表示，最近发生的攻击发生在8月至10月期间。

恶意软件分析师 Tatyana Shishkova 和 LevPinkman 记录了 Rotexy 恶意软件的发展过程，标记了关键的开发过程如处理 SMS 通信或应用 AES 加密供目标和 C2 服务器进行数据交换。

从2016年年末开始，这款木马表现出焦点只在于通过钓鱼页面窃取用户银行卡信息的迹象。

随后，开发人员添加了一个 HTML 页面模拟一家合法银行的登录表单，并锁定设备屏幕直到受害者提供必要信息为止。

为使效果更逼真，威胁者添加了一个虚拟键盘，为键盘记录应用提供保护措施。

为使受害者放弃敏感数据，屏幕上所显示的 HTML 页面通知受害者称已收到转账。要接收钱款，受害者需要提供卡详情。

Rotexy 的最新版本包括一种保护机制，检查自己在哪个国家使用以及是否在模拟环境中运行。

如果检测到是在俄罗斯且在真实系统运作，Rotexy 就会注册 GCM 并检查是否具有管理员权限。如果它检测到并非以提升后的权限运行，则会使用非常激进的令人厌烦的技巧使用户给予管理员权限。研究人员表示，“它每隔一秒都会执行权限检查；如果未获得提升权限，则会无限循环要求用户提供。”

研究人员指出，要撤销其管理权限，需要定期关闭手机的显示屏。如果用户成功降级 Rotexy 的权限，则它会再次发动进攻并继续开展恐吓技巧。

研究人员观测到的能力包括通过将手机设置为静音模式并在消息到达时关闭手机屏的方式隐藏 SMS 通信。

它的勒索软件功能包括展示带有包含性内容的 HTML 页面并冻结手机。很显然，解锁设备需要支付勒索金。

不过要解锁设备也比较容易，因为研究人员发现了触发该动作的命令。因为也可通过 SMS 实现，在文本信息中发送“3458”也可撤销管理员权限，而“stop_blocker”会封存交易。

Rotexy 可能会重新要求获得权限，而一旦将它踢出系统后问题就会消失，方法是：以安全模式重启将其删除。

研究人员警告称，这些指令仅在当前的恶意软件版本中起作用，可能在未来版本中没有效果。

原文链接

https://www.bleepingcomputer.com/news/security/rotexy-mobile-trojan-launches-70k-attacks-in-three-months/