Cofense表示,駭客通常藉由電子郵件散布Anubis,要求使用者下載一個沒簽名的Android程式安裝檔APK,當使用者執行此一APK時,先要求使用者啟用Google Play Protect,一旦使用者按下同意,它反而關閉了Google Play Protect,同時還賦予了該程式所需的所有權限。成功進駐Android手機的Anubis即會開始蒐集手機上所安裝的程式,一旦使用者開啟特定金融程式,Anubis就會在程式上覆蓋偽造的登入頁面,以竊取使用者憑證。(圖片來源/Cofense)

資安業者Cofense本周揭露新一代金融木馬Anubis的能力,指出它同時具備資訊竊取、鍵盤側錄與勒索軟體等功能,還能關閉Google Play Protect,當它進駐到Android手機之後,即會鎖定逾250款與金融或購物有關的程式展開攻擊。

Cofense研究人員Marcel Feller說明,駭客通常藉由電子郵件散布Anubis,在郵件中要求使用者下載一個收據,但其實所下載的是一個沒簽名的Android程式安裝檔APK,當使用者執行此一APK時,程式會要求使用者啟用Google Play Protect,不過,使用者按下同意之後,它並未啟用Google Play Protect,反而是關閉了Google Play Protect,同時還賦予了該程式所需的所有權限。

成功進駐Android手機的Anubis即會開始蒐集手機上所安裝的程式,以與駭客所列出的逾250個攻擊目標進行比對,這些目標大半是銀行與金融程式,但eBay與Amazon等熱門購物程式也在名單內。一旦使用者開啟了這些目標程式,Anubis就會展開行動,在程式上覆蓋偽造的登入頁面以竊取使用者憑證。

Anubis的能力不僅於此,它還能捕捉手機畫面、變更管理設定、開啟任何的網頁、紀錄語音、打電話、竊取通訊錄、傳送/接收/刪除簡訊、鎖住手機、取得手機的GPS位置、側錄鍵盤、搜尋檔案,還能加密手機或外接裝置上的檔案。

其中,它的鍵盤側錄功能適用於手機上的任何一款程式,而勒索軟體模組則可加密所有的檔案,並將它們傳送到駭客所控制的伺服器上。

此一Anubis最近的活動影響Android 4.0.3及之後的版本,Cofense建議企業應該限制員工裝置上所安裝的程式,也應確保在辦公環境中所使用的程式來自可靠的開發者,而所有的Android用戶都應避免下載未簽名的程式,以降低被惡意程式感染的風險。


Advertisement

更多 iThome相關內容