怪事年年有,今年特別多。惡意軟件細(xì)節(jié)報(bào)道不準(zhǔn)確,竟然還被找上門來要求改正了。聽起來就跟開膛手杰克致電蘇格蘭場(chǎng)說:“喂,你們把我分析錯(cuò)了,我是如何如何肢解受害者”似的。太匪夷所思了。
惡意木馬 Bilal Bot 作者責(zé)怪IBM安全人員把他的惡意軟件信息公布錯(cuò)了,甚至主動(dòng)提供了修訂報(bào)道的服務(wù)。里莫·克塞姆,IBM安全專家,發(fā)言稱自己接到了惡意軟件作者的郵件聯(lián)系。
克塞姆說:“為什么犯罪軟件的開發(fā)者會(huì)聯(lián)系世界最大安全廠商之一?當(dāng)我得知他/她真的在要求我?guī)退?她更好地在我們的安全博客中凸顯惡意軟件,我都驚訝得不行不行的了。”
必須指出的是,IBM在4月就在官方博客網(wǎng)站上揭露過上述惡意軟件的細(xì)節(jié),指稱該惡意軟件是安卓銀行木馬,且在暗網(wǎng)論壇上出售。當(dāng)時(shí)分發(fā)的,是該木馬的貝塔版。
IBM的博客中說,該惡意軟件是另一款功能強(qiáng)大的手機(jī)銀行木馬 GM Bot 的經(jīng)濟(jì)替代版。由于暗網(wǎng)封禁了惡名昭彰的銀行木馬 GM Bot 和 KNL Bot 的開發(fā)者,Bilal Bot 便成為一時(shí)之選,收獲了惡意網(wǎng)絡(luò)罪犯的極大注意。
說回實(shí)際的新聞,該惡意軟件的開發(fā)者給克塞姆發(fā)了封郵件,表達(dá)了他對(duì)IBM描述該惡意軟件的方式的不滿。而且,這位開發(fā)者還對(duì)IBM沒有貼出他惡意軟件的更新信息大為光火。
克塞姆曝光了那封郵件的額外信息:
“那位作者想要告知我們,Bilal Bot 現(xiàn)在已經(jīng)從β版升級(jí)了,增加了更多的功能,價(jià)錢也漲了。他對(duì)我們將之描述為低價(jià)軟件很不高興;對(duì)他而言,這里面包含了關(guān)于他產(chǎn)品的“錯(cuò)誤信息”。令人驚訝的是,他毫不遲疑地聯(lián)系了IBM安全員工要求修正這個(gè)錯(cuò)誤!IBM的安全員工立即針對(duì)郵件中列出的細(xì)節(jié)逐條檢查了該惡意軟件,驗(yàn)證那名開發(fā)者關(guān)于 Bilal Bot 的聲明。然后,公司發(fā)現(xiàn),該惡意軟件確實(shí)進(jìn)行了版本升級(jí),新增了很多功能,比如電話轉(zhuǎn)接、讀取短信、滲漏短信、屏幕覆蓋等等,功能已經(jīng)十分完備了。
據(jù)IBM稱,那名開發(fā)者還想添加Tor訪問和垃圾短信功能??巳方忉尩溃?/p>
“像其他手機(jī)惡意軟件一樣,該木馬的安卓應(yīng)用安裝包(APK)可捆綁其他程序,看起來更合法的App、木馬化的游戲等等?;谄鋹阂鈾C(jī)制和行為模式,Bilal Bot 被定性為覆蓋型惡意軟件。
IBM沒有證據(jù)證明通過郵件聯(lián)系了克塞姆的人就是該惡意軟件的真正開發(fā)者。該公司堅(jiān)持,盡管郵件發(fā)送者確實(shí)掌握了惡意軟件的獨(dú)家準(zhǔn)確細(xì)節(jié),但也有些問題暗示這是個(gè)騙局。比如說,郵件賬戶帶了 .ru 的地址,暗示該開發(fā)者來自俄羅斯。然而,這個(gè)惡意軟件是英文版的。另一個(gè)值得懷疑的點(diǎn)是,暗網(wǎng)銷售網(wǎng)頁上列出的開發(fā)者官方郵件賬號(hào),與發(fā)送郵件給IBM的不是同一個(gè)。
克塞姆指出:
“我們不能確定我收到的郵件確實(shí)來自于真正的惡意軟件作者。即便如此,無論是誰發(fā)送了這封郵件,都有著強(qiáng)烈的更新我們博客上關(guān)于此惡意軟件信息的動(dòng)機(jī)。”
克塞姆進(jìn)一步闡述稱,Bilal Bot 作者聯(lián)系IBM是因?yàn)樗麄儗⒃搻阂廛浖Q作 GM Bot 的經(jīng)濟(jì)適用版?;蛟S,高級(jí)版出來后,價(jià)格應(yīng)該有所上漲,而由于IBM宣稱這是低價(jià)貨,開發(fā)者便因這肯定會(huì)拉低新版本在市場(chǎng)上的價(jià)格而非常不滿。