【安全圈】Wroba Mobile Banking特洛伊木马通过短信向美国传播

漫游螳螂集团的目标是美国的恶意软件，可以窃取信息，获取金融数据和发送文本的自我传播。

Wroba移动银行特洛伊木马已经成为一个重要的支点，首次将目标对准了美国的人。

卡巴斯基的研究人员称，针对美国Android和iPhone用户的攻击浪潮从周四开始。这场运动利用短信传播，利用虚假的“包裹递送”通知作为诱饵。

短信里面有一个链接，上面写着：“你的包裹已经发出去了。”卡巴斯基的研究人员周五在电子邮件中提醒道：“请检查并接受它。”

如果用户单击链接，接下来发生的事情取决于设备使用哪个操作系统。点击将android用户带到恶意站点，而恶意站点又会向用户发出警告，称浏览器已经过时，需要更新。如果用户单击“OK”，接下来将开始下载带有恶意应用程序的特洛伊化浏览器包。

但研究人员称，在Android用户可以下载完整Wroba的地方，可执行文件在iPhone上不起作用。对于iOS用户，Wroba操作符将设计一个重定向到网络钓鱼页面。该页面模仿Apple ID登录页面，试图从Apple迷那里获取凭据，但没有安装恶意软件。

苹果有一半以上占美国智能手机市场份额的比例。

Wroba已经存在多年了，但以前主要针对APAC的用户。它最初是作为android专用的移动银行木马开发的，能够窃取与金融交易相关的文件，但后来扩展了其功能。研究人员认为，wroba背后的运营商是中国的，被称为“漫游螳螂”。

研究人员说，Wroba的最新版本可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易相关的文件、窃取联系人名单、拨打指定号码和显示假钓鱼页面来窃取受害者的凭据。

一旦感染了设备，Wroba就会使用它的一些功能--窃取的联系人列表和SMS功能--进行传播，使用受感染的设备通过发送带有恶意链接的SMS来进一步传播，据称是来自主机。

Lookout的安全解决方案高级经理汉克·施劳斯(HankSchless)表示：“Wroba展示了如何向设备交付恶意软件可以为攻击带来更长期的收益。”该公司也一直在跟踪Wroba。

他对Threatpost说：“证书获取链接只针对你一个目的，比如当你收到一条短消息说你的银行账户被破坏了，其意图是伪造你的银行凭证。”

他说：“另一方面，Wroba可以静静地坐在后台，随意地向您的浏览器发送凭据获取页面。”“只要不被注意到，它就可以尝试获取您的登录数据，即使是您最私密的帐户。”

研究人员说，自今年年初以来，这种恶意软件已经瞄准了世界各地的用户，主要集中在中国、日本和俄罗斯联邦。

卡巴斯基说：“美国目前并没有排在第一位，但似乎网络罪犯正走向这个地区，观看Wroba的用户数量还会增加。”“这一波是在10月29日被发现的，目标是美国不同州的用户(从这场运动的目标电话号码判断)。”

该公司补充道：“以前看到的针对APAC用户的活动，所以很有趣地看到网络犯罪分子如何扩大他们的目标。”

2018年，Wroba看到重大重启当它开始瞄准欧洲和中东以及亚洲国家的时候。卡巴斯基当时的研究人员说，它也扩大了它的能力，包括加密以及前面提到的iOS钓鱼策略。在那个时候，它是通过DNS劫持传播的，它将用户重新定向到一个恶意网页，就像在当前的活动中一样，它分发了一个特洛伊化的应用程序(当时，它假装是Facebook或Chrome)。

值得注意的是，漫游螳螂过去曾蜂拥而至美国。今年夏天被发现一个不同的短信网络钓鱼运动，传播虚假间谍信息窃取者。该恶意软件伪装成合法的全球邮政应用程序，还从受害者的设备上窃取短信、金融数据和更多信息。首先是针对韩国和日本人，然后扩大到中国、台湾、法国、瑞士、德国、英国和美国。

Schless告诉Threatpost，根据Lookout的数据，到2020年为止，88%的美国消费者网络钓鱼攻击是试图向移动设备提供恶意软件。

研究人员强调，为了避免成为wroba或任何其他移动恶意软件的受害者，用户应该使用基本的安全卫生，比如只从官方商店下载应用程序；在智能手机环境中禁用第三方来源的应用程序安装；避免单击未知发件人的可疑链接，甚至是来自已知发件人的可疑链接。

WhiteHat Security的首席安全工程师雷·凯利(Ray Kelly)告诉ThreatPost，“人们仍在设法避免通过电子邮件进行网络钓鱼攻击。”“现在，短信使事情变得更加复杂。短信应该和电子邮件一样对待，不要点击来自未知或可疑发件人的链接。“