腾讯移动安全实验室近日公布了“粗口木马”病毒的详情，这款网银恶意软件一度大幅肆虐中国用户，因其代码中含有粗话而得名。“粗口木马”曾感染了一大片在中国的安卓手机用户，窃取他们的敏感银行帐户和其它个人隐私信息。

与先期发现的网银木马病毒相仿，“粗口木马”能绕过双因子验证（2FA）的安全防护，然后盗取用户的个人信息。银行的手机网银应用一般是采用2FA来作为安全进入的保护，通过手机短信向用户发送一个一次性的密码，加上用户需要输入其自己拥有的密码，形成双重保障。“粗口木马”的犯罪分子向用户发送带有钓鱼网址的短信，取代原有的安卓短信应用，令双因子验证保护失效。

“粗口木马”采用两种方法作恶：

• 一旦用户在手机点开链接含有病毒的下载程序，就会立即激活“粗口木马”。

• 犯罪分子往往通过伪基站，伪装为运营商的客服号码，向用户发送带有钓鱼网址的短信。

利用伪基站发送虚假信息是十分狡猾的操作，此外，诈骗短信的内容极易令人入信，短信的内容诱导用户点击含有病毒的下载程序。在某些个案，诈骗短信的内容更加入情爱元素，引诱用户陷入圈套。

用户一旦安装了病毒程序，由于只需激活任务管理器、只需要锁定屏幕而并无其它应用权限控制，用户便完全放松警惕。安装完成后，该恶意软件便会自动发送钓鱼短信给受害者的联系人进一步散播。

“粗口木马”散播网络钓鱼骗局的手段五花八门：

• 工作文件：一条伪装来自用户经理的虚假短信，命令用户立即下载并且打开一个重要文件，以便回复他在文件中的批注。

• 照片或视频：这类虚假短信声称附有一幅某个纪念活动的图片，或者是用户配偶的外遇照片。

• 热点新闻：最近一个例子是伪装成彩信，内容声称是关于某个名人的妻子在偷情时被撞破的视频。

• 程序更新通知：一条声称来自银行或运营商的短信请求用户安装重要更新。

“粗口木马”不需要和远程命令和控制服务器沟通，它只需通过手机短信和邮件便可向攻击者发送数据，这种操作方式很好地掩饰了其通信及作恶的痕迹。

虽然腾讯的安全报告指出“粗口木马”的诈骗团伙已被警方拘捕，Check Point研究员检测到该恶意软件的作案活动。有鉴于此，现在落网的歹徒只是传播该恶意软件的庞大集团中的分子。

从2016年9月1日起，中国政府已强力推行所有手机号码的身份注册实名制。如果持有者没能在截止日期前向运营商提交真实身份信息，其手机号码将会被停用。这项新规定大幅度削弱了“粗口木马”利用虚假手机号码传播的能力。然而，该种恶意软件仍然可以通过电子邮件进行网络钓鱼。

在腾讯的报告中，指出“粗口木马”只利用了21cn.com的邮箱地址进行攻击。CheckPoint研究员现在却检测到，该恶意软件已使用其它热门的中国电邮服务供应商作恶，包括163.com，sina.cn和qq.com。

截至2017年3月，Check Point观察到“粗口木马”的变种仍在外猖狂，最新趋势是它们使用阿里云和其它邮件账号托管云服务，如qwewa.com和上海美橙科技信息发展有限公司等散播。当中有些邮箱地址还使用手机号码当作用户名，有鉴于邮箱地址的手机号码和短信中的真实手机号码不一致，我们据此推断“粗口木马”变体至少进行了两次改头换面。

过去在中国市场发现的很多移动设备恶意软件，例如HummingBad，是此等病毒的“前辈”，它们仍继续在全球范围内传播。“粗口木马”通过伪基站和自动钓鱼短信广泛散播。这些威胁都可能被西方的恶意软件所采用。公司或机构为防侵害，它们应该安装先进的解决方案，如Check Point提供的移动威胁防御解决方案。

原文发布时间为：2017年3月24日

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。