来源:蜘蛛抓取(WebSpider)
时间:2017-08-01 18:42
标签:
急求手机号码无人接听
市民手机被恶意设置“呼死你” 1天近千个电话
[摘要]市民孙先生的电话遭到“呼死你”软件的频繁骚扰,对方还借机勒索钱财。
本报去年11月6日A17版报道了《给我3万块三个月内不呼你》的新闻,市民孙先生的电话遭到“呼死你”软件的频繁骚扰,对方还借机勒索钱财。北青报记者在淘宝二手网中发现,确实有店家在出售这种“呼死你”软件,北青报记者免费试用后发现该软件确实能够在短时间内频繁打入电话。此外,这名店家还同时出售反骚扰软件。如果想彻底消除影响,需要联系运营商从网关处进行屏蔽。运营商方面表示,很难为一名客户来修改系统数据。面对骚扰者的“狂轰滥炸”,机主将何去何从?一天打来近千个电话“简直烦透了。”去年11月初的几天,孙先生的电话铃声不停地回荡。每个来电响几秒就挂断,隔几十秒又打入,而且无法看到打入者的电话号码。由于孙先生将自己的座机和手机绑定在一起,一天之内近千个电话的“狂轰滥炸”致使他的手机和座机处于“瘫痪”状态,一些友人的电话根本打不进来。随后,孙先生接到一个陌生人的短信,声称有人出9000元雇用他,用“呼死你”软件给孙先生打骚扰电话。“他还说只要我给他3万元,三个月内就不再骚扰我。”孙先生表示,自己尝试安装过几款免费的手机拦截软件,但效果并不大,因为通过“呼死你”软件拨打过来的电话不显示电话号码,这些软件都无法有效拦截。近日,孙先生表示,骚扰电话已经不再打来。手机、座机都被恶意设置“呼死你”同样的情况也发生在市民刘先生身上。日前刘先生给北青报记者打来电话,称自己的手机和家里的固话每隔十几秒便会打进一个电话、收到一条短信,严重影响了自己的通信联络,却一直无法解决。刘先生在自己的手机上安装拦截软件,拦截掉这些电话和短信,而家里的电话只能拔线了之。虽然耳边清静了,可刘先生依旧不能往外打电话。由于手机号是用了十几年的号,也不能一下子就换掉,被逼无奈的刘先生现在只能另外再用一个手机号和外界联系。对于这样的骚扰,刘先生也有自己的怀疑,自己可能是被别人给“报复”了。2013年,做整形外科医生的刘先生,接到福建厦门一个叫吉商网络的公司的业务电话。吉商网络称每月付费1500元,便可以帮刘先生在手机上做广告推广。但刘先生称不需要便挂断了电话。后来对方又打来几次电话,把刘先生给惹火了,大声呵斥后便挂了电话。而据刘先生称这些骚扰电话和短信大多正是来自福建厦门那边,所以刘先生很怀疑自己被他们给报复了,但是却没有明确的证据。网络出售“呼死你”软件北青报记者在网上搜索,发现了一些售卖“呼死你”骚扰软件的信息。“呼死你,哪家强?” 在淘宝二手网中,一店家宣称自己售卖这种骚扰软件,网页中留有不少炫耀该软件功能强大的广告语言:“保你满意,不满意不收费。支持先测试后购买,不支持测试的商家都是效果不好的。”“这是一款骚扰电话软件,俗称‘呼死你’。只要电话被‘呼死你’盯上,任何软件都无法拦截。”北青报记者联系到了这位卖家。他介绍:“电脑软件自动连续呼叫对方电话,拨打时无号码显示,一分钟可以打16个电话,隔一秒一个电话。”卖家还自我标榜,“我能保证我们是同行里面效果最好的!全网就我们家的效果最牛。”“机主可以看到正常的电话打进来,但是无法接到。”这位卖家说,只有在“呼死你”软件未打入电话的间隙,机主才可能查看其他人的正常未接电话,否则根本没机会看到。要购买这种号称功能强大的“呼死你”软件需要多少钱?这位卖家说,价格分为多种,一年期限使用版本180元,永久使用版本280元(带短信轰炸),永久多呼使用版本460元(带短信轰炸)。卖家还称可以提供代呼服务,“一天40元,一个星期80元,一个月150元,建议买软件核算。”记者测试:三分钟内被呼20多次这位卖家发现北青报记者询问了很长时间,但并未透露明确购买的意图,于是主动提出可以免费试用,“把号码发来,可以拿你的电话免费测试一分钟试试效果!感觉效果好,你再买!”北青报记者将一部座机的电话号码发了过去,半分钟内,这部座机电话铃声响起,响了两声后挂断,大概6秒钟之后又开始响起。三分钟内被呼了20多次。“280元终身使用。”这个售卖“呼死你”骚扰软件的店家称,自己同时也出售“呼死你”的“克星”,一款防骚扰软件。他说,顾客购买这款防骚扰软件后,他会教授使用方法。只要用了防骚扰软件,当手机面对“呼死你”时,便可“刀枪不入”。 “只针对一个号码。”他说,280元只针对一个号码解除“呼死你”软件的骚扰,如果需要解除两个号码,就要出双份的钱。两款功能都很强大且对立的软件“遭遇”会如何?这位商家称,同时使用他的两款软件,防骚扰软件会在“交锋”中更胜一筹。他说,这款防骚扰软件可以防范自家出售的“呼死你”软件。他还为“呼死你”软件辩解说,自家的两种软件是配套的,“呼死你”软件的“解药”只有自己开发的反骚扰软件,其他店家出售的反骚扰软件无法抵挡他出售的“呼死你”软件。而反骚扰软件却可以将其他人出售的“呼死你”软件“拒之门外”。专业人士称 “呼死你”很难解套如果被“呼死你”软件盯上了怎么办?北青报记者联系了开发手机软件的专业人士陈先生。“只能通过运营商来解决。”陈先生说,遇到“呼死你”这种软件,机主如果想彻底摆脱骚扰,只能联系运营商,让其操作网关,这样才可以让骚扰电话还没有打入便被拦截。“由于这种来电不显示电话号码,无法追踪,目前也没有任何办法进行拦截。”联通客服人员称,这种情况下建议用户向执法部门寻求帮助,除此之外,要想避免被骚扰,用户只能拔掉电话线或者换号。“处理起来很难。”一位移动客服人员说,要想从运营商处进行屏蔽,不让骚扰电话打入,就需要在多处端口和线路进行修改,“这些电话有些不显示号码,或者来回变换号码,甚至有的是外地号码。”他说,这些因素都导致系统需要进行大量修改才能将骚扰电话“拒之机外”,“不可能为了一名机主的方便就耗费如此大的人力、物力去修改。”律师:找不到被告 机主起诉难北京盈科律师事务所律师康凯表示,“利用呼死你进行骚扰肯定是违法行为,因为‘不厌其烦’呼叫别人,是对他人的一种骚扰,严重影响到他人的正常通话、休息和工作,侵犯了他人的通信安宁、通信自由权和身体健康权。”康凯认为,如果遭遇别人用“呼死你”进行骚扰,被骚扰者可以选择报警或者到法院起诉。但需要注意的是,“呼死你”的骚扰,一般并没有通话内容等证据,很难界定其是否为骚扰电话。此外,虽然被骚扰者可以去法院起诉,但由于用“呼死你”呼出的号码非常多变,很难知道是谁在打电话,所以被骚扰者可能根本不知道该告谁。文/本报记者 杨琳 李铁柱 实习记者 李绍平
[责任编辑:honestsun]
您认为这篇文章与"新一网(08008.HK)"相关度高吗?
Copyright & 1998 - 2017 Tencent. All Rights Reserved
还能输入140字推荐到广播
371177 人聚集在这个小组
(糖醋蛋挞蘸酱油)
(颜控四临)
(东南亚小霸主)
第三方登录:当前位置: && 资讯详情
国外发布2014手机端恶意软件统计
阅读:20046次
概述: 俄罗斯杀毒公司Dr. Web发布了关于2014年手持设备恶意软件的回顾报告。就信息安全事件来讲,刚刚过去的一年可谓状况频出又丰富多彩。新型安卓恶意应用程序不断涌现。具体来讲,银行木马无数的修改版本攻击了许多位于不同国家的设备且它的数量仍在不断增长。此外,2014年发现了第一个勒索软件程序以及针对安卓的加密货币挖矿木马。最为重要的是,手持设备正在饱受间谍木马、以及来自远程服务器多用途应用程序执行命令与安卓固件恶意代码的威胁。没有一家病毒制造者放过iOS;他们为这个平台设置了几个恶意app。手持设备恶意软件现状从新兴恶意应用程序的出现来讲,去年颇不平静,犯罪分子利用这些恶意程序攻击安卓尤其是iOS智能手机及平板。同时,由于安卓在手持设备市场持续独领风骚,因此攻击者将安卓操作系统作为首选目标毫不令人惊讶。截止2014年年底,Dr. Web病毒数据库增加了2867种新成员,包括各种恶意的、不必要的、以及有潜在危险的应用程序,并且总定义达到5681个——比2013年同期增长102%。2010年,关于安卓恶意软件的定义刚刚出现在Dr. Web病毒数据库中,而现在,这一数字已经增长了189倍(或18,837%)。恶意、不必要、有潜在危险的安卓应用程序增长数随着2014年恶意和不必要安卓软件的增长,新型安卓恶意家族数目也在上升——达到367个,比2013年年底(331)增长了11%。恶意、不必要、有潜在危险的安卓软件家族数目与之前一样,窃取机密信息或者为犯罪分子提供非法收入的木马是2014年最多的恶意app类型。新的木马设计往往由台式电脑及笔记本电脑的恶意程序演化而来。Dr. Web定义的最常见安卓恶意软件攻击者非法牟利途径仍为收费短信旨在诱骗受害者订阅收费服务或暗中向收费号码发送短信的欺诈阴谋依然是最常见的手持设备攻击者非法牟利手段。难怪以非法牟利为唯一目的的程序依然在安卓恶意程序中遥遥领先,而这些安卓恶意程序的定义数量在去年翻了一番,达到2689个。Android.SmsSend程序占谷歌移动操作平台恶意及有害软件几近一半的比例。Dr. Web病毒数据库对Android.SmsSend恶意软件的定义其他家族中出现的恶意程序也使向收费号码发送短信更为便捷。程序是SMS木马发展的下一步。跟其他近亲一样,它们能够暗中将短信发送给订约用户进而发送至收费服务。然而,它们的不同之处在于,这些应用程序由犯罪分子直接操控并且遵循犯罪分子的命令。这大大增强了恶意软件的功能。除了发送消息,Android.SmsBot程序还可窃取机密信息、拨打电话并下载其他恶意软件。这些程序首次在2013年发现,之后便频繁出现。到2014年年底,Dr. Web病毒数据库包括209种Android.SmsBot恶意程序定义,而在2013年年底只有24个,增长了9倍(771%)——显然,犯罪分子对这个恶意软件的兴趣不断增长。 Dr.Web病毒数据库中的Android.SmsBot病毒定义然而,野心勃勃的犯罪分子并未就此罢手:他们利用新型木马家族扩展了收费短信获利渠道,这一新型木马也向安卓发送昂贵的信息。此外,他们还窃取敏感信息并将其回传给远程服务器。Android.Bodkel因尝试获得设备管理权限(在多数安卓新近版本中存在这一选项)以使删除更加复杂化而引人注目。如果将它们从管理列表中删除,用户将尝试卸载其中的一个木马,这时Android.Bodkel程序将通过一条威胁短信——即将会毁坏设备所有者的所有数据而尝试阻止卸载,尽管在现实中这种情况或者系统重新设置并不会真正发生。病毒制造者同时还会混淆这个恶意软件代码,使杀毒公司的分析变得更为复杂且安全软件也很少会检测到它——这是这些程序的另外一个显著特征。2014年,Dr. Web病毒数据库收到了113个Android.Bodkel程序,让Dr. Web专家能够检测出大量木马变种。移动银行木马追逐订阅者钱袋越来越多的用户青睐远程银行服务尤其是移动银行服务。网络犯罪分子当然不会放过这一事实,这样一来他们针对手持设备的攻击便逐年增长。他们利用大量不同恶意程序在不同国家获得对用户银行账户的访问权限。这些位于被感染设备的恶意程序能够窃取银行访问密码、拦截包含mTANs的短信、将钱转账到犯罪分子账户、窃取其他机密信息并向特定号码暗中发送短信。韩国拥有发达的网络银行服务,因此成为犯罪分子盗取钱财的首选区域之一。为了在韩国传播恶意安卓应用应用程序并接近金融机构的客户,野心勃勃的病毒作者大量使用含有安卓木马下载链接且凭空出现的短信。Dr. Web的数据表明,在过去的12个月中,网络犯罪分子组织了超过1760个此类垃圾邮件活动,其中包含约80种不同的安卓恶意程序及其修改版本。2014年在韩国传播安卓木马的垃圾邮件活动数量为了诱骗目标用户对垃圾信息产生足够的兴趣从而打开下载链接,犯罪分子赋予链接具有社会意义的信息。最为流行的主题包括包裹邮寄追踪、包括婚礼及会议的各类活动邀请、犯罪报告、关于民防演习的通知等。此外,信息被以银行、电信提供商以及流行网络服务的名义发出。犯罪分子不惜通过关于大规模科技及自然灾害及事故的新闻报道作为不可抗拒的诱饵诱骗用户。犯罪分子在韩国为传播安卓恶意软件使用的垃圾信息主题打开此类信息链接的用户会被重新定向至一个包含僵尸及传播恶意软件的站点,或被重新定向至犯罪分子用于同样目的的文件共享服务网页。值得注意的是,在多数情况下(66.78%),犯罪分子选择文件共享服务或其他免费方式向大众传播恶意应用程序。他们不必使用自创的网站进行操作从而节省设计及维护的时间与金钱。在韩国传播且包含安卓恶意软件的站点韩国的垃圾邮件规模使得犯罪分子能够对成百上千名用户产生影响。例如,4月份,Dr. Web注册的大规模木马程序窃取了机密信息并可执行犯罪分子命令,向特定号码发送短信。网络犯罪分子通过伪装成属于邮局投递服务的网页在韩国传播这个恶意程序。值得注意的是,其中的一个站点的访问人数超过3万人,并且总共的潜在受害者远远超过这个数字。在5月份的一次类似攻击中,受害者数目可能更多,因为当时其中的一个欺诈网页被访问的次数超过7万次。2014病毒制造者为在韩国传播恶意软件而编造的站点截图犯罪分子通过文件共享服务在韩国寄存并传播的安卓恶意软件攻击者对韩国发动攻击时所采用的很多木马都包含一个相当广泛的有效负载和复杂的设计。例如,为了窃取有价值的信息,许多银行木马(包括)使用了一种不同寻常的方式。在启动时,他们会检查官方往来银行应用程序是否已经安装在设备上,如果已经安装,那么恶意软件将会模仿他们的界面并引诱用户泄露敏感信息如登录名及密码、信用卡号、个人信息、甚至是交易安全证书。有时候这些木马(例如)会采取更为简单的方式:主动为用户移动银行软件提供更新服务。而实际上,他们会安装一款应用程序恶意拷贝来窃取犯罪分子所需的敏感信息。韩国病毒制造者利用多种加壳及代码混淆技术使得恶意软件难以被检测到。此外,网络犯罪分子通常还会通过利用所有属于家族的病毒释放器来隐藏恶意安卓应用程序,以此向目标设备传递恶意软件。是一款使用类似防护技巧程序组合的典型案例。它的多种修改版本不但受到复杂加壳(packer)的保护,同时还通过特别编制的病毒释放器木马进行传播。Android.SmsSpy.71.origin旨在拦截短信、窃取用户的联系人信息、并且拦截电话。这种木马同时还会响应犯罪分子的命令来执行大规模的短信群发邮件以选取电话薄号码或获取全部电话薄号码。值得注意的是,在某种情况下,在韩国使用的木马并不仅仅对用户及流行杀毒软件隐藏,还会对杀毒软件进行猛烈攻击并且每时每刻都在试图移除那些在系统中发现木马的杀毒软件。以下图表展示了韩国在2014年发现的20种最常见安卓木马。2014年,俄罗斯也发现了不少安卓银行木马。Dr. Web安全研究人员于2014年秋发现了几款木马尤其值得注意:、、以及。通过在线银行获取银行账户从而窃取钱财。这款恶意软件试图获取当前银行账户余额或者与个人手机绑定的银行卡列表来获取信息。为达到这一目的,它向几家俄罗斯金融组织机构的自动服务系统发送短信。如果Android.BankBot.33.origin收到回复,它就会利用短信命令将可取资金转移到攻击者的账户。此外,这款木马还可以在设备浏览器中加载钓鱼网页来窃取访问用户网络银行账户的凭证。Android.BankBot.34.origin拥有相似的有效负载。除了能够暗中转移受害者银行账户钱财外,这款恶意软件还能够获得许多流行应用程序存储的登录名及密码,并且手机与被攻陷设备有关的电话号码及信用卡。此外,Android.BankBot.34.origin还能够在一台受影响设备上展示任何消息或者对话框,这样,设备可被网络犯罪分子用于多种欺诈阴谋中。此外,由于这款木马的命令及控制服务器位于Tor网络中,Android.BankBot.34.origin的制造者能够保持一种高度隐秘性,并且很难将远程主机关闭。然而,假如主要的命令及控制服务器确实不可用,这款恶意软件能够连接至位于常规互联网的备份服务器中。Android.BankBot.1是另外一个恶意程序,它具有类似的有效负载,通过包含下载链接的短信邮件信息在俄罗斯传播。跟这个家族的其他恶意app类似,Android.BankBot.1会从银行账户窃取钱财;然而,跟许多安卓木马不同的是,它的多数特征在位于主要可执行恶意软件之外的Linux库中执行。这会导致恶意软件为许多杀毒app不可见并且延长Android.BankBot.1在受感染移动设备上的存在时间。其他国家的银行客户也未能逃避犯罪分子的魔爪。例如,2014年11月,巴西用户受到Google Play中两款银行木马间谍的威胁:Android.Banker.127及Android.Banker.128。当安装在一款安卓智能手机或平板上时,这些恶意app会显示一款虚假网页并要求潜在受害者提交银行账户访问凭证。而所获取的信息随后会被转交给攻击者。应该引起特别关注的还包括Android.Wormle.1.origin,它发现于2014年11月,影响手机数量超过15,000台,影响国家约为30个包括俄罗斯、乌克兰、美国、白俄罗斯、乌兹别克斯坦、哈萨克斯坦、塔吉克斯坦、及中国。这个程序不但能够执行攻击者命令暗中转移受害者信用卡财产,还可执行多种有害任务,例如发送短信、删除已安装程序及文件、窃取多种机密信息、甚至对网站实施DDoS攻击。此外,Android.Wormle.1.origin还会在包含下载链接的短信的协助下进行传播。2014年11月Android.Wormle.1.origin所感染的设备数量勒索软件锁定及挖矿木马产生收益网络犯罪分子为非法牟利而创建的恶意app是去年的一个主要趋势。具体来讲,2014年5月份,首个可以锁定移动设备并向用户要求赎金的木马被发现。这些app为犯罪分子提供了唾手可得的钱财,因此随后此类app的数量骤升也无需惊讶。假设Dr. Web病毒数据库在5月份仅仅包含两个安卓勒索软件,到了2014年年末,这一数字增长了6,750%达到137个。危险的锁定程序发现于5月份,它是首款成熟的安卓加密勒索软件,并成为此类勒索软件最引人注目的程序。一旦被安装在受感染设备上,这款程序将会搜索内存卡以获取包含下列扩展的文件名称:.jpeg、.jpg、.png、.bmp、.gif、.pdf、.doc、.txt、.avi、.mkv以及.3gp,对文件进行加密,并且在要求支付赎金前锁定屏幕。然而,应该引起注意的是,目前犯罪分子青睐的是恶意性不太高的恶意软件版本,并且多数已知的安卓勒索软件程序只会锁定设备并指责设备所有者犯下诸如非法浏览并存储了成人内容的罪行。这一缓解技巧被用于多个国家的设备攻击中,并且这些错误指控往往以警察、调查人员、以及恶意软件所在国的执法机构名义发出。例如,于2014年6月发现的以及是由病毒作者在美国传播的。这些程序一旦被启动就会锁定设备,因为他们声称在设备上发现了非法内容,并且他们以FBI的名义要求受害者支付200美元的罚款来解锁。此外,这些密码还会窃取电话薄中的数据(包括联系人姓名、电话号码以及邮件地址)、追踪拨入及拨出的电话号码、并且会在必要的情况下拦截他们。此外,这些木马将会检查某些属于多个金融机构的app是否在受感染的设备上发现,并且他们会将收集到的信息转移给攻击者。然而,病毒作者并不会在拦截了移动设备并展示威胁之后善罢甘休。例如,发现于9月份的勒索软件跟其他恶意app一样,会通过展示勒索要求而拦截手持设备屏幕。但除此以外,它还会设定一个备用解锁密码,大大增大了删除这个木马的复杂性。尽管如此,发现于2014年的新程序并不局限于勒索软件。2013年,多个旨在利用受感染设备资源以挖掘机密货币的木马在台式计算机上大行其道。很显然,它们的成功刺激了手持设备恶意软件作者,而此类安卓程序出现在2014年早期。特别应该注意的是安卓挖矿器(包括Dr. Web病毒数据库中的以及),它的目的是为了挖掘莱特币(Litecoin)、狗币(Dogecoin)以及卡斯币(Casinocoin)。这些木马发现于3月份,被攻击者通过修改过的流行app进行传播,并且当移动设备不被所有者使用时便会开始行动。由于恶意软件会大量使用他们所感染的智能手机及平板硬件资源,这些设备可能会遭遇发热以及电池电量低的情况。由于恶意软件对互联网流量过度使用,用户甚至还可能丢失钱财。2014年4月,旨在挖掘比特币的木马新版本在Google Play上发现。这些恶意app被隐藏在看似无辜的“动态壁纸”中,并且在受感染移动设备休止某段事件后开始实施非法活动。与3月份发现的类似程序不同的是,家族的新成员从制造者那里接收到多个更新——特别是硬件资源的最大使用量被限制。然而,这些恶意app依然造成某种损害;例如,重要数据在互联网上的交换导致费用增长。攻击目标依然是机密信息病毒制造者并不仅仅是为了窃取用户的钱财。他们还对用户的机密信息虎视眈眈,因为这些信息可以为他们带来收益。2014年,信息安全专家注册了几十个此类攻击,许多含有特别复杂的恶意app。例如,Android.Spy.67.origin以软件更新的伪装在中国传播,在1月份被添加到Dr. Web的病毒数据库中。这个恶意程序以流行app的方式安装,并在所攻陷设备的主页屏幕上创建了几个响应快捷方式。在启动时,Andorid.Spy.67.origin删除了这些快捷方式并且收集了个人信息如短信历史、通话日志、以及GPS坐标。此外,这款恶意软件还会激活移动设备的摄像头及麦克风。它会对图片进行索引并创建缩略图。所有获取的信息都被上传至由入侵者控制的服务器上。Android.Spy.67.origin还有另外一个特征:如果恶意软件获得root权限,它会破坏中国流行杀毒软件的运行、删除杀毒软件的病毒数据库、并且安装一个恶意程序来暗中安装其他app。2014年春,安全研究人员同时发现多个惹人注目的攻击安卓设备的间谍木马。在3月份早期,网络犯罪分子开始传播商业性的“移动”间谍,代号为Android.Dendroid.1.origin,这一恶意软件可被嵌入任何无害安卓app中并且促使攻击者在被感染的移动设备上执行非法活动:拦截电话及短信、获得关于设备当前位置的信息、获得访问电话薄及浏览历史的权限、激活设备摄像机及麦克风并发送短信。在地下黑客论坛有售,这证明安卓操作系统的非法服务市场正在不断膨胀。也是在3月份,Dr. Web发现了一款不同寻常的后门,代号为Android.Backdoor.53.origin。为了传播这一程序,犯罪分子修改了一款可允许用户远程控制移动设备、名为Webkey的合法app。它通过从主屏幕中删除图标的方式隐藏了自己在系统中的身影。一旦启动,Android.Backdoor.53.origin便会将设备ID发送至一个远程服务器,说明感染成功启动。随后,入侵者会对设备拥有完全控制并且获得对个人数据及硬件特征的访问权限。2014年8月,信息安全专家发现另外一款危险的安卓后门。Dr. Web的分类系统将其命名为。犯罪分子将这款木马伪装成一个杀毒程序;它会在受感染的移动设备上执行多个非法活动。这个程序窃取了所有类型的机密信息包括短信数据、通话及浏览历史、GPS数据及联系信息。此外,Android.Backdoor.96.origin还可在设备屏幕上显示多个信息、发送USSD询问、切换设备麦克风、记录电话通话、并且将所收集信息上传到一个远程服务器。然而,于9月末出现的则是武装最好的安卓间谍木马质疑。这个恶意程序旨在感染在香港街头抗议的人们的移动设备。一旦启动,这个程序会上传大量关于成功感染的智能手机及平板上的基本信息,以此窃听电话通话、短信、决定设备地理位置、上传存储在服务器内存卡上的文件、激活语音录音、并且获得浏览历史及联系信息。事实上,Android.SpyHK.1.origin可被网络犯罪分子用作成熟的间谍软件程序以获取关于受感染移动设备用户最为详尽的信息。预先安装在移动设备上的木马及首个安卓bootkit网络犯罪分子在安卓操作系统上传播恶意软件程序的一个方法是将其内嵌在文件(例如安卓固件)中,随后贴到可被用户下载的网上,或者预先安装在移动设备上。这种方法对于攻击者来说有几个好处。首先,以这种方式隐藏,恶意软件依然可以“位于暗处”并且在长时间内成功运行而不会引起注意。其次,即便内嵌的木马被暴露,多数用户不可能采取任何办法,因为要移除这个不受欢迎的入侵者要么需要获取root特权,要么需要安装干净的固件,但这样会导致全部数据丢失。在最坏的情境中,受害者要么不得不忍受恶意软件在手机上运行,要么会换用另一台安卓智能手机或平板。去年发现了几起隐藏在安卓操作系统固件恶意app被传播在网上的事件,以及在几个移动设备上发现几款被预装的恶意软件。其中最引人注目的要数1月份发现的木马,当时发现了恶意应用。这是首款安卓bootkit。这款木马位于受保护的内存区域,所以它位于早期加载阶段并且完全删除非常困难。一旦启动,Android.Oldboot.1会提取几个组件并将它们置于系统文件夹中,并以普通app的形式予以安装。这些恶意对象之后被连接至一个远程服务器,并可执行它们接收到的任何指令。在多数情况下,它们会暗中下载、安装并移除多种程序。不久之后,安全研究人员发现了这个木马的升级版。一些被安装的恶意软件组件包含有混淆代码。它们在启动之后便自动卸载并且只在内存中继续运行。就是这个木马卸载了受感染设备上安装的多个流行杀毒程序。2月份,Dr. Web发现了几个内嵌在安卓固件中的app旨在暗中发送短信。其中一款名为Android.SmsSend.1081.origin作为音频播放器将包含IMSI识别符的短信发送了出去,试图自动将用户订阅至一个中国在线音乐网站上。值得注意的是这款木马并没有控制所发送信息的数目。每次启动,它都会发送信息、通过少量的钱情况订约者的账户。Android.SmsSend.1067.origin拥有一个类似有效负载并且内嵌在一个系统应用程序中。同时,它会暗中发送此类信息但会将手持设备的IEMi而不是SIM卡ID进行回传。同样隐藏在安卓设备中的木马程序还包括Android.Becu.1.origin,这是Dr. Web安全研究人员在11月份发现的。犯罪分子将这个恶意应用程序内嵌至大量运行安卓操作系统的低廉智能手机及平板上。这个程序拥有一个模块结构。一旦启动,这款恶意软件会从命令及控制服务器上下载额外的组件,随后用于执行入侵者的命令来安卓下载、安装并删除某些app。如果任何一个木马组件被删除,Android.Becu.1.origin将会自动下载并安装以恢复运行能力。此外,这个恶意应用程序会拦截所有从某个电话号码收到的短信。发现于12月份的Android.Backdoor.126.origin是另外一款被犯罪分子部署到移动设备上的恶意程序。这个恶意程序可执行命令生成包含特定文本的短信并将它们添加到信息收件箱,以供野心勃勃的犯罪分子用于多个欺诈阴谋中。11月份,一个类似恶意程序的定义被添加至Dr. Web病毒数据库中。然而,Android.Backdoor.130.origin拥有更广泛的特征。具体来讲,它能够暗中发送短信、拨打电话、显示广告,并且下载、安装并启动app;此外还会将所有类型的机密信息包括通话及短信历史及地理位置信息传送至一个远程服务器。此外,Android.Backdoor.130.origin还会删除已经被安装在受感染设备的app,并且执行其他不必要的动作。针对Apple手持设备的攻击即便许多网络犯罪分子将运行安卓操作系统的移动设备当成主要目标,他们依然在孜孜不倦地追求其他额外收入来源并且将目光转向其他流行移动平台。例如,2014年,入侵者在Apple制造的设备上发动了一系列攻击。未更改iOS智能手机及平板的所有者及越狱手持设备所有者遭到攻击。3月份,针对越狱设备及修改了一些内嵌在多个iOS app广告模块参数的IPhoneOS.Spad.1在中国发现。由广告产生的利润随后进入野心勃勃的黑客腰包而不是这些程序的作者手中。4月份,中国发现另外一起针对越狱移动设备的木马。Dr. Web将其归类于IPhoneOS.PWS.Stealer.1,它窃取了木马攻陷的设备ID凭证。被攻陷的Apple ID可影响用户访问多数Apple服务的功能,包括App Store以及iCloud。5月份,中国越狱版设备受到IPhoneOS.PWS.Stealer.2的攻击。与IPhoneOS.PWS.Stealer.1类似,这个木马不但可以窃取Apple ID登录名及密码,还会下载并安装其他app,包括那些利用不知情用户的钱在App Store自动购买的app。9月份,另外一个旨在影响越狱iOS设备的恶意程序被安全研究人员发现。这个程序在Dr. Web病毒数据库中的名称为IPhoneOS.Xsser.1,事实证明它非常危险。IPhoneOS.Xsser.1可被用来窃取加密信息如电话本内容、照片、密码、短信、通话历史、以及设备地理位置信息。12月份,越狱版设备受到间谍木马IPhoneOS.Cloudatlas.1的攻击。这款恶意软件旨在窃取大规模的敏感信息包括受感染设备的详细信息(始于操作系统版本,结束于当前时区),以及可获得用户账户信息包括AppleID以及iTunes 凭证。所有的这些安全事故都准确地反映出使用完整性监控软件被攻陷的iOS设备是多么地危险。但有时候即便符合安全要求也并不意味着Apple制造的‘移动助手’完全受到保护的保证。2014年11月发生的一次攻击以越狱版手持设备及使用iOS服务器设备为目标便是明证。这次攻击涉及Mac.BackDoor.WireLurked.1——一款影响运行Mac OS X机器的恶意应用程序。它被用于将IPhoneOS.BackDoor.WireLurker安装到Apple智能手机及设备上。病毒制造者将Mac.BackDoor.WireLurker.1内嵌到虚假的多种合法app中(通常价格昂贵),这样那些不愿意为app及游戏付费的粗心用户会安装这个木马。一旦这个木马感染了它的下一个Mac,它会等待符合目的的移动设备将Mac通过USB进行连接,而且一旦下一个智能手机或者平板被连接,这个木马会利用一个特别的安全证书立即将IPhoneOS.BackDoor.WireLurker安装到智能手机或平板上。这个后门可窃取机密信息包括联系人信息及短信,随后这些信息被回传到由入侵者控制的服务器上。2014年不同寻常的威胁有时在追逐利益的时候,狡黠的病毒制造者会生成恶意app。这些恶意app的有效负载不同于其他多数木马的有效负载。其中一个罕见的木马是Android.Subscriber.2.origin,它会让用户订约收费服务。这个木马及类似木马之间的不同之处在于,Android.Subscriber.2.origin会通过在一个僵尸网站上注册电话号码而不是发送短信的方式让用户订阅收费服务。这个木马会在门户网站上注册电话号码并等待包含运行确认代码的短信。这款恶意软件会隐藏短信回复,读取内容并自动向同一个网站发送所获代码,以此来完成注册。然而,这并非Android.Subscriber.2.origin为用户准备的唯一“惊喜”。一旦要求收费的信息开始抵达设备,这个木马会通过将它们标记为“已读”并将接收日期修改到15天前的方式隐藏在收件箱中。然而,有时候病毒制造者的驱动力并不是物质收入。安全研究人员在9月份发现的Android.Elite.1.origin便是一个活生生的例子。一旦被放在移动设备上,这个木马便会格式化可获得的内存卡并破坏无数正常运行的在线聊天及短信app,方法是通过“遵守(OBEY)”或“被黑(BE HACKED)”的信息阻止对窗口的访问。此外,这个恶意程序会将大量短息发送至电话本中的所有联系人,这种行动将会耗尽用户的移动账户。前景及趋势预测去年手持设备上发生的无数攻击表明,2015年,智能手机及平板所有者将不得不严肃对待移动设备的安全问题。确保银行账户不被网络犯罪分子盯上将成为用户亟待解决的一个问题。网络银行的快速发展使犯罪分子对其垂涎三尺,因此各种银行木马攻击将会增强。来自发送收费短信程序的威胁将持续存在。用户应当警惕由新型勒索软件以及病毒制造者尤为感兴趣的程序发动的攻击。将会产生更多带有此类恶意软件的、更为复杂的攻击,并且很有可能会产生新的移动挖矿木马。除了要保证财产安全之外,用户需要格外谨慎以确保个人信息的完整性。从对入侵者的诱惑力来说,个人信息比金钱更有价值。针对Apple设备的新型恶意软件将会产生,这一可能性依然很高。因此,Mac OS X以及iOS的粉丝应当尤其关注安全基础:不要访问僵尸网站、避免打开未知来源链接、而且无论何时都不要为了安装有疑问的软件而进行越狱。
本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
参与讨论,请先
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]
