外媒 1 月 17 日消息,安全研究人员称一个先进的 Android 银行木马 Exobot 的源代码在知名的黑客论坛上出售给不同的人群后,Android 用户的处境将会变得更糟。
这个令人担忧的木马是一种 Android 恶意软件,最早出现在 2016 年 6 月的恶意软件攻击场景中。就像今天大部分专业编码的桌面或移动银行木马一样,Exobot 一直按月租用给客户。
虽然客户无法访问 Exobot 木马的源代码,但他们可以使用 Exobot 作者提供的配置面板来编译每个客户端自定义设置的恶意应用程序。然后,租借人必须分发这些应用程序给受害者。过去两年来,Exobot 一直是最活跃的 Android 移动木马之一(其中还包括 BankBot、GM Bot、Mazar Bot,以及 Red Alert)。
最初,一些安全公司把该木马称为 Marcher,但是最终还是以其作者的名字来称呼它。在 2016 年下半年,Exobot 初期带来的利润刺激了 Exobot 的作者创造了 Exobot v2。当木马在暗网、黑客论坛、XMPP 垃圾邮件,甚至在公共互联网上大肆宣传时,Bleeping Computer 覆盖了Exobot v2 的崛起。
根据记者过去与众多安全研究人员进行对话的证据,Exobot 似乎是一个有利可图的业务,被用于全球许多国家的用户。
Exobot 作者将银行木马出售
出乎意料的是,Exobot 的作者以 “ android ” 的通用假名进行了一项重大举措,虽然事后看来这可能会给未来的用户带来很多问题。就在近日Exobot 的作者决定关闭 Exobot 租赁计划,并将源代码出售给一小部分客户。
以下是 Exobot 的作者销售广告的两幅图片,由 SfyLabs 的移动安全研究员 Cengiz Han Sahin 提供。
安全人士 Sahin 称恶意软件领域的这种说法一般意味着以下两点之一:
要么是恶意行为者注意到执法部门或竞争对手反击市场份额的兴趣激增,要么是他的生意确实非常丰富,风险或者收入不再为利益所驱动。
公众担忧 Exobot 源码被公开
但是,尽管有这些原因,Exobot 的销售会对Android恶意软件的攻击场景产生深远的影响是毋庸置疑的,即使不是马上。
有记者过去曾经报道过很多这样的事件,根据这位记者的经验和 Sahin 的预测,源代码在网上泄露只是时间问题。这样的销售几乎从不保密,而且当 Exobot 的作者不提供买方需要的支持时,不满意的客户就会泄露源代码。例如在过去的十年里,有很多家庭桌面银行木马被泄露。
一旦泄露,Exobot 代码 将和 Slempo、BankBot 和、GM Bot Android 银行木马的命运相同,重新组织成数百个分支木马,从而降低进入移动恶意软件场景所需的成本和技术技能。
Exobot 的出售或衍生新型恶意软件活动
但是,在低技能的恶意行为者泄露 Exobot 版本之前,这个木马的新客户已经开始使用了。
安全人士 Sahin 表示:“ 在恶意行为者开始销售 Exobot 源代码之后,不到一个月,在奥地利,英国,荷兰和土耳其就发现了新的活动。土耳其是受这些活动影响最大的国家,共有 4400 多台设备牵涉其中。
这种恶意 Exobot 应用程序的增加是由于 Exobot 源代码的一些私人销售引起的。如果源代码泄漏, Exobot 攻击的规模可能会超出安全人士的想象,如同 BankBot 木马一样。据悉,BankBot 在 2016 年底在线泄露,其一直是通过 Google Play 商店传播的恶意应用程序的核心,
分散的 Android 操作系统市场、不及时交付补丁的移动运营商、以及谷歌的游戏商店团队似乎无法跟上恶意软件作者的步伐,这种种原因使得 Android 用户在移动恶意软件上处于严重的劣势。而唯一能保护大多数用户的方法就是移动杀毒解决方案和一些使用常识,例如拒绝从不受信任的来源安装应用程序、不安装需要不必要权限的游戏商店应用程序等。
消息来源:Bleeping Computer,翻译:榆榆,校审:FOX;
source: hackernews.cc.thanks for it.