iPhone兩漏洞易中惡意程式｜黑客製假Apps　避開監管資金有入無出

iPhone 漏洞｜網絡安全公司 Sophos 近日發現一個名為「CryptoRom」的黑客組織，利用 iPhone 兩個漏洞，讓用戶安裝沒有監管的 App，繼而騙取用戶金錢，而且這些金錢更是用戶自己存入黑客戶口，到底是什麼一回事呢？以下將一一解析。

iPhone 裝 App 兩大漏洞

一般 iPhone 用家想下載和安裝 App，需要在 App Store 上尋求，但其實有另外兩個方法可以繞過 App Store 下載。黑客利用 Apple 官方的 TestFlight 程式，把惡意程式假裝成測試版的 App，而用戶就以測試人員的身份，透過 TestFlight 下載該程式。

同時，黑客也把惡意程式放在 Web 內，叫用戶把 Web 添加到 iPhone 螢幕上，成為應用運行的網站。這兩個方法下安裝的 App，都沒有經過 App Store 管理和監察，因此安全保護極低。

假加密貨幣平台

Sophos 的報告中指出，黑客會在交友 App 上尋找對象，當目標和黑客接觸外，就會開始介紹其下載含有惡意程式的加密貨幣交易平台 App，而這些惡意 App 包括完全虛構的平台，以及假冒其他平台的 App。有受害人指，當中包括疑似 BTCBOX App 和 BitFury 的假冒網站。

當用戶下載完惡意程式後，就開始使用平台進行加密貨幣交易，平台更會顯示用戶獲得豐厚回報，甚至允許提取小部分資金。而陷阱位是，當用家投入大量資金想賺更多時，再次提取金額就會發現諸多阻撓，甚至要求再存入更多資金（達某個額度）才能提取。當然，這些只是黑客的藉口，因為不論用戶再做什麼，存入惡意程式的金錢已經不可能再拿出來。

Sophos 提醒，不要隨便下載來歷不明的 App，以及嘗試繞過 App Store 下載 App，就算不是直接損失金錢，也有機會被惡意程式盜取 iPhone 內的個人資料。

資料來源：Sophos

👇👇相關圖輯：6款PDF QR Code掃描工具內含惡意木馬👇👇

同場加映：新型木馬病毒｜YouTube影片作傳播　中招者恐信用卡、銀行被清零

病毒、惡意程式（Malware）在今時今日可謂無處不在，除了早前多次報導在 Google Play Store 處偽裝成不同的 Apps 引導 Android 用家下載再盜取個人資料的木馬病毒之外，現在連不少人日日在看的 YouTube 影片都有潛在危險，近日抗疫留家的時間增加，就連睇片都要小心提防。

想知YouTube影片如何傳播木馬病毒？即睇：新型木馬病毒｜YouTube影片作傳播　中招者恐信用卡、銀行被清零