当前位置:安全资讯 >> 全文

Exobot 作者放弃租赁出售源代码 安卓用户麻烦不断

发布时间:2018-1-18 15:44 标签: Exobot,源代码
分享到 0

恶意软件Exobot出现于20166月份,是近两年来最活跃的安卓恶意软件之一 。其作者突然决定把源代码出售给少数客户,这一举动将会给安卓用户带来很多麻烦。

Exobot 跟当前多数专业编写的桌面或手机银行木马类似,一直按月租赁给消费者。消费者永远无法访问 Exobot 木马的源代码,只能通过由 Exobot作者配置的配置面板通过基于客户的自定义设置编译恶意 app,之后必须自己想办法把这些 app 传播给受害者。

Exobot 是近两年来最活跃的安卓移动木马之一,其它木马包括 BankBotGM BotMazar Bot Red Alert

最初安全公司将其称为 Marcher,但最终都开始使用 Exobot 作者起的名称。2016年晚些时候,受到利润的驱使,Exobot 的作者创建了 Exbot v2。当时 Dark Web、黑客论坛、XMPP垃圾信息网站甚至公开互联网上都出现了它的身影。

从所收集的资料以及和安全研究人员的了解中发现,Exobot 似乎获利颇丰,而且用于攻击全球很多国家的用户。

Exobot 作者挂牌出售源代码

但突然,Exobot 的作者(昵称“android”)做出了重大的决策:关闭 Exobot 租赁模式并将源代码出售给少量客户。

SfyLabs 公司的移动安全研究员 Cengiz Han Sahin 指出,从android 所发布的广告来看,他变得非常富裕。从恶意软件世界的角度来看,他发布的这些声明意味着两种意思:一种是他或者注意到了 Exobot 引起了执法部门的注意以及/或者竞争对手在奋力夺回自己的市场份额;另外一种是他的生意确实硕果累累,已不再关注风险/收益比。

很多人担心 Exobot 源代码将遭公开

尽管如此,出售 Exobot 将会对安卓恶意软件的状况产生深远的负面影响,如果这种影响不是马上显现的话。

基于本文记者多年的经验以及从 Sahin 的预测来看,源代码迟早会被泄露到网上。

这种出售行为几乎从来无法保密,在某个时间点,当 Exobot 的作者不提供买家所需支持时,总会有一个不满意的消费者泄露源代码。十年来,很多桌面银行木马就是这样被泄露的。

源代码一旦遭泄露,Exobot 的命运就会步 SlempoBankBot GM Bot 安卓银行木马的后尘,被修改且融入数百款木马中,从而降低成本和进入移动恶意软件场景的技能要求。

Exobot 出售引发新的恶意软件攻击活动

不过在技能低下的威胁者获得 Exobot 的泄露版本之前,新的消费者早已将其好好利用。Sahin 指出,就在 android 开始发广告出售 Exobot 源代码之后不到一个月的时间里,澳大利亚、英格兰、荷兰和土耳其就发现了新型攻击活动。其中土耳其遭受的影响最为严重,总计4400台设备受影响。

恶意 Exobot app 数量的增长是由多起私下出售 Exobot 源代码行为引发的。如果其源代码遭泄露我们不难想象它造成的后果,BankBot 就是一个例子。

BankBot 的源代码泄露于2016年后期,最近通过谷歌官方应用商店传播的恶意app 潮就是由 BankBot 引发的,而谷歌工程师们似乎越来越难以检测到最初传播这些威胁的 app

面对支离破碎的安卓操作系统市场、从不按时发布补丁的恼人的移动运营商以及谷歌官方应用商店团队看似无法跟进将安卓用户置于风险之中的恶意软件作者的情况,我们大多数用户能做的就是,通过移动反病毒解决方案保护自己,不从不受信任来源安装 app或者安装要求获得不必要权限的应用商店 app

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/exobot-author-calls-it-quits-and-sells-off-banking-trojan-source-code/
参与讨论,请先 登录 | 注册

用户评论