Rotexy可接收指令进行各种攻击,例如化身银行木马,以网钓页面窃取被害者的银行信息,还能拦截简讯,或是变身为勒索软件锁住手机要求赎金。卡巴斯基实验室(Kaspersky Lab)于本周指出,有一支从2014年就存在的Rotexy经过这几年来不断地进化,同时具备了银行木马与勒索功能,还建立了3个通讯管道,在今年的8到10月间就发动了7万次攻击,主要的受灾地区为俄罗斯。Rotexy主要透过内含链接的文字简讯以诱导用户下载恶意软件,当成功感染装置之后,它就会忙着建立自己的工作环境以执行下一阶段的恶意行动,包括检查所处的环境及装置是否符合需求,继之就会要求管理权限,而且会不断地提出请求直到使用者答应为止。成功取得权限之后它就会回报安装失败,然后隐藏图示,却在背景开始与黑客通讯,它具备了3种接收命令的管道,一是传统的命令暨控制(C&C)服务器,二是透过Google Cloud Messaging(GCM)服务,三为文字简讯。Rotexy能够拦截手机上所接收到的简讯,并检测它是否符合银行信息的规格,再将它储存并传送至C&C服务器,甚至能代替用户回复文字讯息。
有趣的是,要解决Rotexy的威胁也很容易,各种程度的受害者都能自行处理。由于它能够接收来自文字简讯的命令,而且并未验证命令的来源,因此,只要用另一支手机传送简讯到被骇手机就能解锁。在研究人员破解了Rotexy的指令之后发现,只要传送「393838」到被骇手机上,就可将C&C服务器的地址变更成空白,它将停止遵从源自C&C服务器的指令,再传送「3458」则能解除Rotexy的管理权限,最后传送「stop_blocker」以强迫Rotexy移除挡在屏幕上的网站或警告。虽然Rotexy仍然会继续纠缠使用者以取得管理权限,但这时使用者已确定它是个恶意软件,只要重新启动至安全模式,再到Application Manager或Applications and Notifications将它移除即可。
