今年7月，Cybereason发布报告称一款名为FakeSpy的危险Android恶意软件重新出现。FakeSpy能够窃取用户的短信、银行信息和应用数据。通过研究发现FakeSpy旨在窃取用户的短信、财务数据、银行登录信息、应用数据、联系人列表等等。FakeSpy通过一条看似来自当地邮局的短信进行传播，并指示用户下载一款伪装成合法邮局应用的应用。目前FakeSpy的主要目标是美国和西欧的用户。研究人员称，所有迹象都表明FakeSpy的幕后开发者是一个叫 "Roaming Mantis "的组织。再来说说FakeSpy通过短信的的传播方式：

1.向攻击目标发送一条声称来自当地邮局的短信，短信中声称邮局试图投递一个包裹，但由于用户不在家而无法投递；

2.短信提供了一个用户可以点击的链接，该链接引导用户下载一个伪装成合法邮政服务应用的应用程序。

3.一旦用户将该程序安装在手机上，该应用就会将假短信以及恶意链接发送到用户的整个联系人列表中。

早在2018年，Roaming Mantis就通过Wi-Fi路由器感染过智能手机。当时Roaming Mantis开发的恶意软件使用受感染的路由器感染基于Android的智能手机和平板电脑。然后，它将iOS设备重定向到钓鱼网站，并在台式机和笔记本电脑上运行CoinHive密码管理脚本。它是通过DNS劫持的方式实现的，这使得目标用户难以发现某些问题。

近期又有研究人员发现了Roaming Mantis开发的新恶意软件——Wroba手机银行木马，且其攻击目标是美国人群。

据卡巴斯基的研究人员称，自周四开始，一波针对美国Android和iPhone用户的攻击就已经出现了。该攻击使用短信进行传播，以虚假的“包裹递送”通知作为诱饵。这与FakeSpy攻击的套路是一样的。

首先攻击者发送的短信内容中包含一个链接，内容为：“你的包裹已寄出，请检查并接受。

其次如果用户点击链接，则接下来的操作就取决于设备所使用的操作系统。点击会将Android用户带到一个恶意站点，该站点反过来向用户发出警报，指出该浏览器已过期并且需要更新。如果用户点击“确定”，接下来将开始下载带有恶意应用程序的木马浏览器程序包。

但据研究人员的分析，在Android系统中下载的Wroba，无法在iPhone上运行。而对于iOS用户，Wroba运营商没有采用安装恶意软件的方法，而是会使用重定向到钓鱼页面的策略。该页面模仿了苹果ID登录页面，试图从苹果迷那里获取凭证。

截至今年5月，苹果在美国智能手机市场的份额已超过一半。其实Wroba已经存在了很多年，但是以前主要针对亚太地区的用户。它最初是作为Android专用的移动银行木马开发的，能够窃取与金融交易相关的文件，但此后扩展了其功能。研究人员说，Wroba的最新版本可以可以发送短信、检查安装了哪些应用程序、打开网页、获取任何与金融交易有关的文件、窃取联系人名单、拨打特定号码以及显示虚假钓鱼页面，以窃取受害者完整的身份信息。

一旦感染了某个设备，Wroba就会利用它的一些功能，比如窃取的联系人列表和短信功能进行传播，利用感染的设备通过发送带有恶意链接的短信(据称来自主机)进一步传播。

Lookout安全解决方案高级经理Hank Schless说：

“ Wroba展示了如何将恶意软件发送到设备以为攻击带来更长远的收益。”

他告诉Threatpost说：

“一个获取证书的链接只针对一个目的，比如当你收到一条短信，说你的银行账户已被入侵，其目的是网络钓鱼你的银行证书。另一方面，Wroba可以隐藏在后台运行，随意地将凭据收集页面发送到你的浏览器。只要不引起注意，它就会试图窃取你的登录数据，甚至是你最私人的账户。”

自今年年初以来，该恶意软件已将全球用户作为攻击目标，主要集中在中国，日本和俄罗斯联邦。

卡巴斯基说：

“美国目前还不是Wroba攻击的重灾区，但似乎攻击者正朝这个地区发展，目前美国被Wroba攻击的用户数量增加数量非常多。我们是在10月29日发现的这波攻击，根据此次行动目标的电话号码判断，攻击者将其锁定为美国不同州的用户。”

就像是FakeSpy恶意软件已经将攻击目标扩展到中国、法国、德国、英国和美国在内的国家，Wroba也将其攻击目标由原来的亚太地区扩展到了世界各地。

早2018年，Wroba就开始在亚洲之外寻找欧洲和中东地区的目标。据当时的卡巴斯基研究人员称，它还扩展了包括加密和之前提到的iOS钓鱼策略在内的功能。当时，它是通过DNS劫持进行传播的，DNS劫持将用户重定向到一个恶意网页，就像在当前活动中传播了一个木马程序一样。当时，它伪装成Facebook或Chrome。

如上所述，"Roaming Mantis "所开发的恶意软件就伪装成邮政短信曾攻击过美国。起初，该恶意软件瞄准的是说韩国和日语的人，但随后将目标扩大到中国、法国、瑞士、德国、英国和美国。

Schless告诉Threatpost，根据Lookout的数据，到目前为止，美国消费者网上诱骗攻击中有88％是试图将恶意软件传递到移动设备的尝试。

研究人员强调，为避免成为Wroba或任何其他移动恶意软件的受害者，用户应具备基本的安全保护措施，例如仅从官方商店下载应用程序；在智能手机设置中禁止从第三方来源安装应用程序；并避免点击来自未知发件人的可疑链接，甚至是来自已知发件人的可疑链接。

WhiteHat安全公司的首席安全工程师Ray Kelly告诉安全网站Threatpost:

“虽然人们仍在努力避免被电子邮件进行钓鱼攻击，但现在，短信让事情变得更加复杂。应对短信的安全意识应该和电子邮件一样，永远不要点击来自未知或可疑发件人的链接。”

来源及参考：嘶吼专业版https://threatpost.com/wroba-mobile-banking-trojan-spreads-us/160785/