卡巴斯基實驗室(Kaspersky Lab)於9/5發布一份報告指出,日前發現的一款新型Android木馬,開啟了Android木馬透過行動殭屍網路散播的先例。
卡巴斯基在今年六月時首度發現此Android木馬程式,代號為Backdoor.AndroidOS.Obad.a,當時卡巴斯基將此木馬描述為有史以來最複雜的 Android木馬,不過當下並無太多資訊得以了解該款木馬的散播管道和方式。卡巴斯基在最新的報告中指出,於偵測分析後發現,這款新的手機木馬Obad.a,除了透過發送簡訊、垃圾郵件,以及Google Play stores等手機病毒常用途徑進行散播外,更是首款透過行動殭屍網路散播的Android木馬。
報告中指出,Obad.a運用的行動殭屍網路的手法與個人電腦環境中的殭屍網路相當類似,雖然這種手法在個人電腦中相當普遍,但卻首度出現在Android環境中,而這也突顯了Android木馬的複雜性和重要性與Window平台上的威脅越來越接近。
根據卡巴斯基攔截到的Obad.a數目分析,顯示在某些時間點會出現異常高的感染數量。卡巴斯基指出,這些高峰值就是Obad.a利用行動殭屍網路感染更多手機的結果。Obad.a作者不僅透過他們自己撰寫的軟體散播,也會運用其他的手機木馬感染更多的手機。
卡巴斯基已經偵測到Obad.a會利用另一個手機木馬SMS.AndroidOS.Opfake.a.散播。首先,Opfake.a藉由Google雲端通訊服務(GCM, Google Cloud Messaging)傳送夾帶惡意網址的短訊,一旦用戶點選該連結,就會自動安裝 Opfake.a,若使用者不慎執行該程式,C&C伺服器就會指示該木馬傳送含有另一個惡意連結的訊息至通訊錄的所有名單,當收件者點擊該連結,其手機或平板電腦就會自動下載Obad.a。
雖然整個感染途徑需要使用者自行點擊網址,然而結果證明,很多人確實上了當。根據俄國行動服務營運商Unuchek表示,他們的偵測結果顯示每個版本的Opfake.a在五個小時內就可發送出600個訊息。
截至目前為止,卡巴斯基已經發現12種Obad.a版本。這些版本都具有相同的功能和高度複雜的程式碼混淆技術,均可使用Android的漏洞以取得裝置的管理權限,並讓該木馬難以被查覺和移除。雖然最新版的Android已經修補此漏洞,然而,多數使用者尚未更新到最新版本,也因而仍暴露在風險中。此外,卡巴斯基表示,使用者也可以使用他們針對Android 11.1.4的安全工具以刪除Obad.a。