資安業者ThreatFabric本周揭露了一個新的Android惡意程式Xenomorph,它偽裝成各種合法的程式,待使用者安裝後再下載金融木馬程式,瞄準56家歐洲銀行與若干程式的用戶,估計至少已有超過5萬臺Android裝置安裝了Xenomorph。
ThreatFabric甫於今年2月發現Xenomorph,它隱藏在各種合法程式中,迄今績效最好的是一個曾於Google Play上架的Fast Cleaner程式,它宣稱可清除手機上不需要的資料以強化手機效能,延長電池續航力,該程式的作者為ilzeeva4,安裝次數已超過5萬次。
當使用者下載並安裝Xenomorph之後,它會不斷要求使用者賦予它「無障礙服務」(Accessiblity Services)的權限,因為駭客取得了該權限才得以執行「覆蓋攻擊」(Overlay Attack);亦即當偵測到使用者開啟特定的程式時,便出現一個惡意的覆蓋介面,以誘導使用者輸入自己的憑證,再將所竊來的憑證傳送至由駭客掌控的遠端伺服器。
圖片來源/ThreatFabric
而這些遭到駭客鎖定的特定程式則涵蓋了56款金融程式,Coinbase、Bitfinex及Binance等多種加密貨幣錢包,以及PayPal、Gmail與Yahoo Mail等,目標對象為西班牙、葡萄牙、義大利及比利時等歐洲用戶。
目前Xenomorph除了內建覆蓋攻擊能力之外,也能紀錄裝置的簡訊、干預通知並防止使用者將它移除,研究人員推測它還在早期開發階段,因為有許多已列出的功能都尚未實現,而且相信它有朝一日將成為能力強大的金融木馬程式。
雖然Google不斷加強Google Play的安全機制,但惡意程式作者則千方百計繞過Google的審查,例如儘量縮小惡意程式的足跡、每次都只遞送很少的惡意程式更新,或者是只於特定地區安裝木馬程式等,而讓Fast Cleaner成功登上Google Play。值得注意的是,就算Google已經移除了Fast Cleaner,但仍有許多網站推薦並提供該程式的下載,使用者下載行動程式時務必要小心。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20