第一起 | 国内恶意软件用伪基站传播Android恶意软件

根据外媒报道称，中国的恶意软件开发者正在使用伪基站（BTS）发送包含Android恶意软件链接的恶意短信。

这是恶意软件开发者使用基站传播恶意软件的第一起案例，也是Avast 2014年发布的趋势预测中的一种可能，只是直至目前才得以实现。

通过假基站传播Swearing木马

利用这种方式传播的Android恶意软件名为“Swearing”，之所以称为“Swearing”是因为它的源代码中包含很多中国骂人的话。

来自腾讯安全的研究人员发现，这种恶意软件只在中国活跃。

Swearing组织部署其恶意软件的方式与其他任何Android恶意软件相比都是独一无二而又见所未见的。

攻击者正在使用流氓BTS设备将附近的移动设备诱骗至一个单独的移动网络中。在这里，他们会向受害者发送看起来像是来自移动提供商的SMS短信。

研究人员发现，攻击者主要伪装像中国移动和中国联通这样的提供商发送欺诈短信。

SMS信息中包含用户必须安装的恶意APK（Android应用程序）文件的链接。

因为GooglePlay Store在中国是被封锁的，大家已经习惯安装来自不受信任源提供的APK文件，所以如果你能让用户成功访问该URL，那么接下来要进行的社会工程就不是什么难事了。

“Swearing”是一个全面的威胁

这些APK中包含“Swearing”木马，它是一种全面的威胁，可以从受感染的设备中收集用户个人数据，发送钓鱼邮件来收集登录凭证，以及拦截SMS信息来绕过中国银行机构使用的双因素认证系统或其他一次性代码系统等。

腾讯表示，在某些情况下，Swearing恶意软件团伙会使用不同的主题进行短信诱骗，例如发送配偶出轨照片的链接或视频，或是根据最新的热门事件发送名流女星艳照链接等。

尽管如此，最有效的诱饵往往还是看似最正规的短信信息，如伪造电信提供商或银行机构发送SMS短信通知用户根据链接下载他们的移动应用程序的更新程序等。

虽然去年中国当局已经逮捕了Swearing恶意软件团伙中的部分成员，但是之后，攻击者使用Swearing恶意软件和蜂窝基站的攻击事件还是时有发生。

Swearing恶意软件有望在全球范围内传播

近日，Check Point报道称，稍微修改过的Swearing恶意软件正在发起新一轮攻击。

这家以色列安全公司还援引了HummingBad的案例，去年 2 月，Check Point 监测到了 HummingBad 的存在，它是一个以下载量为驱动的恶意软件，感染之后，用户在使用手机浏览网页的时候可能会被跳转到色情内容。

而这还不是最致命的，首先 HummingBad 会试图获取手机的超级控制权限，如果成功的话，HummingBad 会尽可能多地下载安装带有病毒的应用程序。

如果不成功的话，HummingBad 会伪装成虚假的系统更新提示，向用户索取系统级别的许可权限。

该Android木马也是开始于中国移动恶意软件市场，随后开始蔓延全球，据悉，至少有 1000 万用户正在使用被恶意程序感染的应用，中国和印度的 Android 手机被感染得最多。

就像HummingBad恶意软件一样，利用Swearing恶意软件的攻击活动预计也将传播至全球其他国家，尤其是使用BTS设备来诱骗用户安装恶意软件的有效载荷将进一步推动这种蔓延趋势。

2016年8月，移动安全公司Zimperium发表了研究报告强调称，许多移动电信提供商使用BTS设备中的大量漏洞。攻击者可以使用这些漏洞来接管现有的蜂窝塔，这就意味着他们不一定需要购买定制的BTS设备来传播恶意软件。