Android惡意程式Xenomorph瞄準56家銀行的客戶

資安業者ThreatFabric本周揭露了一個新的Android惡意程式Xenomorph，它偽裝成各種合法的程式，待使用者安裝後再下載金融木馬程式，瞄準56家歐洲銀行與若干程式的用戶，估計至少已有超過5萬臺Android裝置安裝了Xenomorph。

ThreatFabric甫於今年2月發現Xenomorph，它隱藏在各種合法程式中，迄今績效最好的是一個曾於Google Play上架的Fast Cleaner程式，它宣稱可清除手機上不需要的資料以強化手機效能，延長電池續航力，該程式的作者為ilzeeva4，安裝次數已超過5萬次。

當使用者下載並安裝Xenomorph之後，它會不斷要求使用者賦予它「無障礙服務」（Accessiblity Services）的權限，因為駭客取得了該權限才得以執行「覆蓋攻擊」（Overlay Attack）；亦即當偵測到使用者開啟特定的程式時，便出現一個惡意的覆蓋介面，以誘導使用者輸入自己的憑證，再將所竊來的憑證傳送至由駭客掌控的遠端伺服器。

圖片來源／ThreatFabric

而這些遭到駭客鎖定的特定程式則涵蓋了56款金融程式，Coinbase、Bitfinex及Binance等多種加密貨幣錢包，以及PayPal、Gmail與Yahoo Mail等，目標對象為西班牙、葡萄牙、義大利及比利時等歐洲用戶。

目前Xenomorph除了內建覆蓋攻擊能力之外，也能紀錄裝置的簡訊、干預通知並防止使用者將它移除，研究人員推測它還在早期開發階段，因為有許多已列出的功能都尚未實現，而且相信它有朝一日將成為能力強大的金融木馬程式。

雖然Google不斷加強Google Play的安全機制，但惡意程式作者則千方百計繞過Google的審查，例如儘量縮小惡意程式的足跡、每次都只遞送很少的惡意程式更新，或者是只於特定地區安裝木馬程式等，而讓Fast Cleaner成功登上Google Play。值得注意的是，就算Google已經移除了Fast Cleaner，但仍有許多網站推薦並提供該程式的下載，使用者下載行動程式時務必要小心。