移动信息安全公司Lookout周五发布报告,展示了俄罗斯Android恶意软件行业的全貌。报告认为,俄罗斯的许多恶意软件并非来自个人黑客,而是资源丰富的“恶意软件制造机器”。
Lookout高级研究人员和响应工程师里安·史密斯(Ryan Smith)表示,Lookout此前注意到,来自俄罗斯的短信欺诈恶意软件占该公司检测到这类恶意软件的30%,随后才开始关注俄罗斯的恶意软件情况。在6个月的时间里,Lookout发现了一个围绕Android恶意软件制造及传播、快速发展的行业。
欺诈方式
Lookout发现,在俄罗斯短信恶意软件行业,有10家组织在其中占60%。这些组织的中心是“恶意软件总部”,即恶意应用的制造者。在被下载之后,应用将会使用短信简码发送吸费短信。在美国,收费短信的收费方通常为红十字会等慈善组织。
这些恶意软件的运作方式如下:恶意软件总部制造恶意应用,并将其伪装成各种类型的普通应用,此外也在运营商注册有自己的短信简码。围绕恶意软件总部的“外围组织”会对恶意应用进行订制,并通过网站或社交媒体推荐这些应用。
受害者有可能通过这些外围组织网站或社交媒体下载到恶意应用。一旦恶意应用被安装至Android设备,那么就会发送一条或多条收费短信,导致受害者需要支付3至20美元的费用。
由于恶意软件总部拥有短信简码,因此可以直接获得移动运营商支付的费用。他们会从中提取部分收入分成,并将另一部分提供给外围组织,而付费方式基于外围组织的“业绩表现”。史密斯表示,Lookout发现,在连续5个月的时间里,一些外围组织每月能获得1.2万美元收入。因此,这是一项极具吸引力、收入稳定的“生意”。
庞大的规模
这是一种非常直接的欺诈手段,也是通过Android恶意软件获得收入的最直接方式。令Lookout惊讶的是,这样的欺诈活动规模非常庞大,而相关组织的运营方式也值得关注。
例如,恶意软件总部帮助外围组织很方便地订制恶意软件。史密斯表示,恶意软件总部会制作多种主题,从而实现更方便地订制。“他们可以让恶意软件看起来类似Skype、谷歌Play,以及其他一切看起来正常,用户可以下载的应用。”
此外,恶意软件总部每隔1至2周就会发布更新以及新代码,这就像是“采用敏捷开发模式的创业公司”。许多更新都是为了逃避信息安全公司的监控。一些恶意软件甚至会对部分代码进行加密,只有在使用时才会临时解密。
另一方面,外围组织也积极参与。在一些讨论版和网站上,外围组织会对多家恶意软件总部进行对比。通常情况下,营收分成的支付是外围组织最关心的问题,但恶意软件总部提供的客户服务和技术支持同样很重要。如果对某家恶意软件总部提供的服务不满,那么外围组织也会转向另一家。
恶意软件总部会尽自己的努力帮助外围组织取得“成功”。史密斯表示,对表现突出者,圈子的领导者会给予外围组织现金奖励,有时奖金甚至达到30万美元。他们还会为外围组织开发广告平台,向他们提供信息,例如哪些地区哪些恶意软件的“业绩”最好。
未来的希望
犯罪活动的规模如此之大,运营已实现常态化令人震惊,但信息安全行业仍有着好消息。大部分短信简码无法在俄罗斯及周边国家以外的地区使用。
史密斯表示,更重要的是,通过了解这类欺诈活动的方式,信息安全公司将可以提供更好的保护措施。Lookout目前已可以阻拦短信简码,并屏蔽某些服务器和IP地址。
当然,这样做并不会使恶意软件制造者停下脚步。如果他们能聪明地调整一些代码,那么将可以发现已遭到信息安全公司的监控。不过史密斯表示:“为了做出调整,他们必须投入更高的成本。”