示意圖,Photo by NordWood Themes on unsplash

資安業者Check Point本周揭露了駭客攻陷企業行動裝置的新招術:直接入侵企業的行動裝置管理(Mobile Device Manager,MDM)伺服器,再藉由伺服器的自動部署功能於大量的行動裝置上植入Android惡意程式,造成該企業75%以上的行動裝置都受到感染。

研究人員指出,他們是在今年2月偵測到企業有大量的行動裝置被安裝了惡意程式,由於惡意程式是在很短的時間內被安裝在大量的裝置上,於是他們揣測若非是惡意程式具備橫式移動的能力,就是MDM伺服器就入侵了,結果答案是後者。

駭客所使用的是金融木馬程式Cerberus的變種,但功能更為強大,它不只能紀錄裝置上的所有輸入、竊取Google Authenticator資料、接收任何的簡訊,還能透過TeamViewer自遠端對裝置下命令。

變種Cerberus還會自俄羅斯的C&C伺服器下載惡意模組,除了可蒐集通訊錄與簡訊之外,還能寄送簡訊,打電話或傳送USSD請求。

該惡意程式也利用多種技術來維持其長駐能力,例如賦予自己管理權限、複雜化反安裝程序、一旦察覺使用者企圖移除它就會自動關閉App Detail,而且它利用了無障礙服務,得以關閉Google Play Protect,以避免遭到偵測及移除。

受駭企業除了重設所有憑證之外,最後只得把所有的行動裝置都回復到出廠預設值,以確保裝置上不再存留惡意程式。

研究人員指出,這是他們第一次看到駭客利用MDM伺服器來散布惡意程式,MDM是整個行動網路的中央控制中心,只要被入侵,受害的就是整個網路,此事突顯了管理行動裝置與保護行動裝置是兩件事,行動裝置的管理代表一次安裝、配置及部署政策到不同的裝置上,而保護行動裝置則是避免它們遭到惡意程式的威脅與攻擊。


熱門新聞

Advertisement