背景圖片取自Radoslav Bali on Unsplash

定期監控Google Play惡意程式的資安業者Zscaler在本周揭露,過去幾個月發現了Google Play上的逾90款惡意程式,其總計安裝數量超過500萬次,當中有兩款夾雜金融木馬程式Anatsa。

其實在Zscaler所發現的惡意程式中,數量最多的是資訊竊取程式Joker,占了42.6%,居次的則是廣告程式的41.5%,還有12.8%是專門用來竊取臉書憑證的Facestealer,屬於金融木馬程式的Anatsa與Coper分別只占2.1%與1.1%。

Anatsa最初瞄準美國與英國的金融程式,但Zscaler近來發現Anatsa的攻擊目標已擴大到包括德國、西班牙、芬蘭、韓國與新加坡的金融程式,鎖定全球超過650個金融機構。

這兩個Anatsa金融木馬程式分別偽裝成看起來無害的PDF閱讀器及二維碼閱讀器,以成功上傳到Google Play並閃避偵測,且使用者的安裝數量已超過7萬次。

圖片來源/Zscaler

分析顯示,在使用者安裝了任一款閱讀器之後,程式就會藉由假借更新的名義,自駭客所控制的C&C伺服器下載惡意程式碼或階段性酬載,繼之向使用者請求各種許可,諸如簡訊或輔助(Accessibility)等與金融木馬相關的功能,而為了自金融程式中竊取資料,Anatsa會下載一個金融程式目標清單,掃描受害裝置是否含有清單上的程式,再與C&C交流,C&C即會根據裝置上所找到的程式提供偽造的登入頁面,以竊取使用者的憑證。

Zscaler說,即使這次它們僅發現少數嵌入Anatsa與Coper的金融木馬程式,但它們可能帶來最嚴重的危害,建議各組織應該實施零信任架構,以確保使用者在造訪任何資源之前都必須經過身分驗證與授權。

熱門新聞

Advertisement