Mohamed Nohassi on Unsplash
安全廠商趨勢科技近日發現一隻Android竊密程式,能利用光學辨識(OCR)技術萃取出手機螢幕的文字,以竊取帳號密碼。
趨勢科技今年4月發現二波有關的惡意程式攻擊。其中一波是透過釣魚網站散布名為CherryBlos的竊密程式,另一波則是存在Google Play Store上的詐騙App。
其中CherryBlos具備使用OCR圖像辨識工具的進階能力。今年4月CherryBlos嵌入於挖礦軟體的App中,透過推特、TikTok、Telegram等傳播,廣告連結將用戶導向釣魚網站下載到其Android手機上。CherryBlos目的在竊取加密貨幣帳號的憑證,並在用戶提款時置換錢包網址為攻擊者所控制的網址,以掏空用戶錢包。
研究人員發現,CherryBlos具有多種高明技倆以避免偵測。為躲避靜態偵測,惡意程式作者以強大的市售封裝工具Jiagubao(360加固保)內建加密技術封裝,以加密CherryBlos大部分字串,減少被偵測的機率,也會以WebView顯示官網以免受害者起疑心。
CherryBlos和金融木馬程式很像,會要求輔助功能的存取許可。它在用戶開啟電子錢包App後顯示對話提示窗,要求使用者同意給予許可。CherryBlos還會假造電子錢包App啟用活動,以誘使用戶輸入密碼片語(passphrase)。很特別的是,取得輔助功能存取許可後,當用戶在螢幕上輸入密碼時,CherryBlos會先拍下螢幕擷圖,以OCR翻譯成文字格式後,將密碼片語、連同植入的電子錢包App套件名稱等資訊,傳送給駭客控制的C&C伺服器。此外,當用戶從交易平臺提款存到自己的線上電子錢包時,CherryBlos會將錢包網址置換成攻擊者所控制的網域,以便竊取加密貨幣。
研究人員還在Google Play Store上發現不含CherryBlos的同樣的App。他們相信是由同一個團隊開發。
此外,除了CherryBlos外,研究人員也在Google Play上發現疑似和CherryBlos有關的惡意App,因其使用相同的網路基礎架構及App憑證。這些App 謊稱用戶可經由導流量賺取獲利,但受害者最後是提不出錢的,故其中的惡意程式被研究人員稱為FakeTrade。倒楣的用戶下載安裝這些App後大量給予負評。
這類詐騙App共有31款上傳Google Play Store,現已全數為Google移除。
安全廠商提醒,用戶應避免從第三方網站下載不熟悉的App。且安裝前應仔細審閱其他用戶的評論,看看是否有提及可能是惡意程式。此外也應留心App要求的許可,特別是要求輔助功能存取權限。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19