惡意程式MysteryBot直指Android而來，不只是金融木馬，還能側錄鍵盤、勒索

資安業者Threat Fabric近日揭露一新款Android惡意程式MysteryBot，它同時具備了金融木馬、鍵盤側錄與勒索軟體的功能，而且它的覆蓋攻擊（overlay attack）手法已能攻陷Android 7與Android 8平台。

所謂的覆蓋攻擊是於Android裝置上的功能介面或應用程式介面上覆蓋一個惡意視窗，但使用者卻以為是在與合法視窗互動，以誘騙使用者賦予重要功能，例如將安裝Android安全更新的「Contiune」按鍵換成允許惡意程式取得裝置管理權限的「Activate」按鍵。

分析顯示，MysteryBot與金融木馬程式Lokibot系出同門，它們連結了同一個C&C伺服器，而Lokibot則是今年2月行動惡意排行榜上的第二名，僅次於後門程式Triada。

然而，MysteryBot顯然是經過改造的進階版，因為它除了基本的金融木馬功能之外，還允許駭客撥打電話到指定號碼、取得裝置的通訊錄資訊、轉接電話到指定號碼、複製裝置上的所有簡訊、側錄鍵盤、加密外接儲存裝置的所有資料或移除裝置上的通訊錄、傳送簡訊至裝置通訊錄名單、刪除裝置上的所有簡訊，或是傳送簡訊到指定號碼。

此外，研究人員也懷疑MysteryBot作者正在開發可復原加密檔案的能力，竊取電子郵件內容的能力，以及可自遠端啟用應用程式的能力。

至於MysteryBot也有更強大的覆蓋攻擊模組，將可應用在較新的Android 7與Android 8平台上。

Threat Fabric說明，覆蓋攻擊的關鍵在於時機點，必須在特定應用程式開啟時利用一個偽造的頁面誘導使用者輸入憑證、信用卡資訊或讓駭客取得裝置權限，假設時機不對，惡意程式即可能曝露行蹤，過去因為Android 7/8的安全控制較嚴格，而讓駭客不得其門而入，MysteryBot的現身代表駭客已突破重圍。

值得慶幸的是，MysteryBot現在仍處於開發階段，意味著它尚未被廣為散布，也讓使用者或金融機構有更多的時間來防範。