假 Viber 通知:”你有新語音留言!”點選後當心信用卡費暴增,電話通聯紀錄走光,還附贈成人網站

趨勢科技注意到偽裝成來自跨平台網路電話及即時通訊軟體 Viber 的垃圾郵件數量在急遽地增加。這個應用程式也有電腦版,讓使用者可以使用免費電話和訊息。這封電子郵件通知收件者他們的帳號內有一封語音留言。

圖1、垃圾訊息樣本

 

電腦和手機上的不同行為

在電腦上的感染行為非常簡單:點入內嵌的連結會導致下載被偵測為BKDR_KULUOZ.VLU的後門惡意軟體到系統內。

然而,在行動裝置上打開電子郵件的收件者經歷了不同的結果。它不會下載任何惡意軟體,而是將使用者重新導到不同的網站,像是一個隨機網址、搜尋引擎甚或是官方應用程式商店。

行動使用者有時會被重新導到一個串流媒體網站。調查顯示此網站已經跟可疑活動連結。比方說,該網站會秘密地去對使用者在註冊過程中必須提供的信用卡號碼收費。一些使用者會在點入「Flash Player」更新廣告時被導到該網站。

圖2、使用者有時會被重新導到一個串流媒體網站

 

基於行動作業系統的重新導向

更值得注意的是其重新導向結果也取決於設備的作業系統。Android 使用者被重新導到Google Play上的「GO桌面EX」應用程式。Apple 使用者被重新導到 iTunes 網站上的一個中國遊戲應用程式。要特別指出的是,這些應用程式都並非惡意程式。

圖3和4、使用者有時會被重新導到 Google Play和 iTunes

基於平臺的重新導向並不限於官方應用程式商店。點入連結的 Android 使用者有時會被重新導到看似空白的網頁。檢查網頁原始碼後,我們發現它包含一個會連到被偵測為ANDROIDOS_PAWEN.HB T的 APK 檔案網址。

此應用程式包含各種成人網站連結。此外,它還會監視使用者接收和撥出的電話,紀錄任何號碼並將其發送到應用程式中內建的網址。這些網址的目的可以從其網址字串清楚地看出:

  • http://{malicious domain}/scripts/app_tracking_manager.php
  • http://{malicious domain}/scripts/app_call_tracking_manager.php

不過要注意的是,使用者不會被導向包含惡意 APK 檔的連結。同時,iPhone使用者有時會被重新導到一個成人網站。

結論

雖然我們已經看過許多可以在不同平臺上運作的威脅,此一垃圾郵件攻擊的可能結果數量高度值得注意。而且有意思的是,這攻擊背後的垃圾郵件發送者煞費苦心地將行動使用者基於其設備平台去重新導到不同的網站。

訊息服務是種常見於攻擊的社交工程(social engineering )誘餌,就跟這次一樣。這起攻擊比其他起更為可信的原因或許是因為Viber真的有提供電腦版。對於收到電子郵件的使用者來說,不會太難去相信語音留言真的存在。

我們建議使用者在打開電子郵件時要格外小心。垃圾郵件發送者和其他網路惡意份子可以輕易地偽造電子郵件。盡量避免去點入電子郵件內建連結。使用者直接在地址列輸入網站網址會比依靠內嵌連結好得多。

趨勢科技主動式雲端截毒服務  Smart Protection Network來偵測攻擊相關的垃圾郵件樣本、惡意網址和惡意軟體以保護使用者免於此威脅。

趨勢科技也透過安全達人來保護使用者免於行動威脅,能夠提供給iPhone、iPod Touch和iPad使用者以及Android智慧型手機和平板電腦的使用者。Android使用者可以到這裡下載此安全應用程式,而Apple使用者可以到這裡下載。

我們已經將其回報給Google。

偵測到的相關雜湊值如下:

  • 03f078d14c6714631f2f6acc78d0f5f23e80da70
  • de0563e92daea91d028d5b26a2e2c01477af1ac8

 

@原文出處:Fake Viber Spam Changes Routines Based on Platform作者:Wish Wu(行動威脅回應工程師)