出租车木马病毒来袭

Faketoken.q Trojan木马病毒冒充俄罗斯流行的出租车预约应用软件

是否熟悉于这样的场景:你手忙脚乱地赶去上班、去参加一个商务会议,或者去约会。于是你像往常一样打开最喜爱的应用软件,打算预订一辆出租车,不过这次有点不同,系统提示你输入信用卡号码。看起来很让人生疑?也许不是——应用软件忘记了信息,你需要做的就是再次添加卡号。

然而过了一段时间后,你发现账户内的钱不翼而飞了。发生什么事情了?你可能不幸中了手机木马病毒。最近我们发现这种类型的恶意软件通过伪造出租车预约软件界面窃取银行数据。

Faketoken Trojan病毒已经存在很长时间,多年来一直在升级。我们的专家将最新版本命名为”Faketoken.q”,截至目前该病毒已经掌握了大量的诈骗手法。

该木马病毒潜入智能手机后(可以通过该恶意软件的图标判断,Faketoken利用大量提示下载图片的SMS信息混入智能手机)就会安装必需模块,然后隐藏其快捷方式图标,接着便秘密在幕后监测系统中发生的一切。


已安装的Faketoken Trojan图标

首先木马病毒会对用户的电话产生兴趣。一旦检测到电话,就会开始录音。电话结束后,Faketoken就会将录音发送给不法分子的服务器。第二,木马病毒还会检测智能手机用户使用哪些应用软件。

一旦Faketoken 检测到用户启动了某个应用软件,就会对其界面进行伪造,接着木马病毒就会立即用自己的屏幕覆盖该应用软件。为达成这一目的,该病毒会使用标准的安卓系统操作风格,支持在所有其他应用软件顶部显示叠加屏幕。一大堆合法的应用软件,比如信息、窗口管理器等等,都使用此功能。

覆盖的窗口与原始应用软件界面的颜色完全匹配。在该窗口下,木马病毒提示用户输入其信用卡号,包括卡片背面的验证码。


Faketoken.q Trojan木马病毒冒充俄罗斯流行的出租车预约应用软件

事实上,Faketoken.q模仿的大量应用软件中有一个共同点:在这些应用软件中,输入支付数据的要求看起来非常正常,不会引起怀疑。被攻击的应用软件是一些手机银行应用,安卓支付(Android Pay)、谷歌商店( the Google Play Store),用于预定航班和酒店房间的软件,用于支付交通罚单的软件以及用于预定出租车的软件。

在窃取用户金钱的同时,Faketoken 还会使用其他伎俩,拦截所有进入的SMS信息,隐藏起来不让用户看到,然后将这些信息送往不法分子的服务器,服务器从这些信息中提取支付认证的一次性密码。

通过我们已经登记的少量攻击以及上文截屏中可以看到的假冒用户界面来判断,我们可以说杀毒软件实验室的研究人员已经开发出了一套木马病毒测试版本,但不会是最后一个版本。

对于勤奋的Faketoken病毒发明者,我们一定要给予应有的”奖赏”。他们很可能对木马病毒进行改进,在某一时间点”商业”版本可能会涌现出一波病毒感染事件。

目前该木马病毒还只是集中于俄罗斯用户中,但是就像我们过去多次看到的一样,网络不法分子不断互相窃取创意,因此用不了多久其他国家的黑客就会掌握同样的伎俩。现在许多城市居民都安装了出租车预约应用软件,因此这一诈骗手法对恶意软件发明者来说是一个很好的机会。

下文针对如何避开Faketoken以及窃取卡号、拦截SMS信息、用一次性密码进行验证支付的类似手机木马病毒提供了几点建议:

  • 立即修改安卓系统的设置,禁止安装未知来源的应用软件。阻止安装未知来源软件,进入”设置”选择 ->安全与未经核实的未知来源。
  • 安装期间一直留意应用软件提出的访问权限,即使是从Google Play商店下载的软件也应如此(官方应用软件商店也有可能存在木马病毒)。你可以通过这篇文章了解更多安卓系统权限。
  • 在智能手机上安装杀毒软件是一个非常明智的选择,杀毒软件可以发现隐藏在应用软件中的感染源。比如你可以使用我们的卡巴斯基安全软件安卓版( Kaspersky Internet Security for Android),从 Google Play 商店即可免费下载
  • 提示