2022年Android用戶快刪|病毒扮二步認證App上架!銀行戶口恐清零

撰文:蔡浩騰
出版:更新:

2022年Android 病毒、木馬盜銀行資料|現在談到手機、Apps 帳戶保安,很多時都會建議用戶使用「二步認證」的手段,但所謂「道高一尺、魔高一丈」,有心人要盜取用戶資料的方法總是層出不窮,最近就有保安公司發現有身載多個危險惡意程序的木馬 App 偽裝成二步認證 App 在 Google Play 上架。

二步認證「2 Step Authentication (2FA)」近年在網絡保安範疇十分盛行,但誰又想到這會成為一個保安缺口?(圖 malwarebytes)

用戶為二步認證安裝額外 Apps 竟變入侵漏洞

二步認證「2 Step Authentication (2FA)」近年在網絡保安範疇十分盛行,即在輸入密碼認證之後再設定的另一道認證關卡,需要用戶輸入一個隨身裝置才能查閱的密碼。

二步認證所需要的密碼一般以 SMS 方式傳送予用戶或以特定 App 產生,而最多人知道、又廣為大企業使用的二步認證密碼 App 就有出自 Google 的《Google Authenticator》,但誰又想到這會成為一個保安缺口?

網絡保安公司 Pradeo 發現內藏木馬程序的《2FA Authenticator》Google Play 資料頁面

網絡保安公司 Pradeo 最近就在 Android 手機常用的應用市場 Google Play 上發現了一個名為《2FA Authenticator》的密碼認證 App,其功能與《Google Authenticator》基本一樣,讓用戶可以在不同支援 2FA 的網站上設定好 2FA,需要登入時一樣可以用作認證之用。

然而此 App 除了有可能讓不同服務的 2FA 認證資料流出之外,還藏有數個惡意程序,會以「程式更新」之名下載到手機之中,例如名為「Vultur」的程序,就專以銀行 Apps 埋手,入侵後可將用戶銀行帳戶內的金錢轉走。

小心求證二步認證Apps 真偽、保護不同帳戶

《2FA Authenticator》目前已被 Google 發現並且將之從 Google Play 下架,然而在此之前,其已錄得超過 1 萬次的下載次數;與此同時,由於 2FA 認證本身擁有開源特性,任何人都可以拿來開發不同 Apps,故難保未來仍然有同樣性質的病毒程序會在 Android 甚至 iOS 的平台上出現,作為用戶在下載這類型 Apps 前最好還是核實一下開發者的身份,如非必要,最好還是不要使用 Google 以外的開發者推出的認證 Apps。

除了 Google,Microsoft 亦有推出 2FA 認證 App(圖 Google Play)

撇除「病毒 App」/假 Apps 的狀況,2FA 仍然是相當值得使用的保安手段,目前不少大型企業如 Facebook、Instagram、任天堂等等在登入時都可以設定,各位不妨參考一下我們最前撰寫的設定教學👇👇👇

👇👇👇即睇Google Authenticator兩步驗證加強Instagram保安👇👇👇

+7

👇👇👇即睇Google Authenticator兩步驗證加強Facebook保安👇👇👇

+6

👇👇👇即睇Google Authenticator兩步驗證加強Nintendo Account保安👇👇👇

+4

同場加映:YouTuber遺失iPhone驚見定位在先達 得女神襄助、最後竟失而復得

今時今日手機已成為人們不能或缺的日常工具,中毒/被駭還可以救,但總有意外讓我們的手機遺失/被盜,手機尋回的機率頗低、叫人手足無措。一名來自澳門的 YouTuber 近日在遊歷香港的行程中就遺失了他的 iPhone👉👉👉最後竟奇蹟地失而復得,過程更有香港本 Youtube 界女神仗義幫忙。