“请别碰”(照片:Marcio Jose Sanchez)今天,在布拉格举行的“Virus Bulletin”(英国国际反病毒实验室、世界三大著名杀毒软件测试机构之一)会议上,谷歌软件工程师塞巴斯蒂安·珀斯特揭示了安卓安全小组的内部特别工作组是如何与俄罗斯最近增加的手机银行诈骗事件进行斗争的。今年的第一季度,俄罗斯的智能手机用户遭受到了名为“木马”的恶意软件攻击。据卡巴斯基实验室报告,86%的手机银行木马都集中在俄罗斯。珀斯特对于特别工作组为对抗攻击而在一月成立的过程进行了解释。
谷歌对运行安卓软件的手机所发现的可能有害软件(PHA)进行了手机安全测试与评估,自动通过人工对于软件的编写,来源、流向谷歌以及其他的应用商店以及软件对于辨别PHA的表现情况。谷歌的安卓安全系统——Verify Apps,在软件安装时对软件进行扫描,推荐用户不安装被检测出为PHA的软件,并且,会定期对手机软件进行全部扫描,向用户和谷歌公司报告所检测到的PHA,然后,推荐用户卸载那些PHA。
在出现最多PHA的国家名单中,俄罗斯常常出现在最靠前的位置。与美国相比,俄罗斯用户手机安装PHA的可能性是美国的10倍,在美国,检测到有PHA的手机比例不到0.4%。
诈欺者利用人体工程学,说服俄罗斯用户忽略Verify Apps的警告,安装来自外部网站的恶意软件。这些网站伪装成拥有大量用户群的安全软件,例如谷歌市场,Adobe Flash Player,以及我的世界。这些木马包含钓鱼式攻击的恶意软件,监视正当银行软件,谷歌市场软件,以从用户处窃取其财务相关信息证书。有了账户编码与密码,这些诈欺者就开始进行未经授权交易,然后,通过拦截金融机构发送给受感染手机的验证码短信,确认其交易。这种拦截验证码的能力至关重要,因为全世界的银行都在利用验证码来防止欺诈。
去年三月,为了应付手机银行攻击,谷歌将其利用Verify Apps的手机病毒扫描系统对俄罗斯用户手机的检测频次由一周一次改为一天一次,警告用户注意钓鱼软件,推荐用户移除,而这使得2015年4月卸载软件的用户数量大幅增加。接着,Verify Apps开始移除确认为钓鱼木马的软件,同时,谷歌开始屏蔽已确认的木马软件的安装与重新安装。
特别任务组,作为一项独立措施,调查了用户安装未被确认的财务钓鱼木马的安装次数,而过去六个月数量的下降证明了特别任务组辨认试图躲避追踪的新变体的能力。
特别任务组还追踪了忽略以蓝线表示的警告的用户数量的减少情况。同期,俄罗斯总体PHA数量减少了一半,可能是因为关注Verify Apps的用户变多了。根据卡巴斯基实验室的报告IT Threat Evolution Report(httpss://securelist.com/analysis/quarterly-malware-reports/71610/it- threat-evolution-q2-2015/),2015年第二季度,银行木马的较上一季度减少比例大约为50%,肯定了珀斯特的结果。卡巴斯基的高级恶意软件分析师罗曼·乌努切克应《石英》之邀,向本刊发来邮件评论:木马背后的势力自2003年开始就将俄罗斯银行和谷歌市场的用户作为目标了,但是到了2015年5月月初,这一数量急剧下降,几乎降至零。我们的解决措施是自我们最后报告发布的三个月内继续检测,但是检测频率会比5月低5倍。
珀斯特以对“安卓的新M版本”操作系统是如何加强对上述威胁的抵制的说明总结了其发言,这一发言也说明了手机制造商组建勤奋的团队持续对抗恶意软件的必要性是无可争议的。(译者: 把悲伤留给自己 原作者:Steven Max Patterson)