Android用家快刪 Xenomorph異形新種木馬病毒|截取SMS偷銀行戶口

撰文:蔡浩騰
出版:更新:

Android 病毒|Google Android 手機系統向來以自由度高見稱,只不過隨之而來的保安漏洞卻讓用戶深陷與各式病毒/惡意軟件的保安攻防戰中,悄一不慎不但私隱資料會外洩,就連銀行內的財產都可能不保。

繼「小丑」、「滴管」等不同類型的惡意軟件被發現後,近日有保安團隊就表示於 Google Play Store 上出現了新品種的「異形 Xenomorph」木馬病毒,目前潛伏的 Apps 數量雖然不多,但性質卻十分危險。

「異形」病毒 App 潛伏、截取二步認證登入銀行偷錢

早幾個月曾經公布「小丑」惡意軟件的網絡保安團隊 Zscaler ThreatLabz,近日就發表最新報告,指他們在 Google Play 上發現了一種新的木馬病毒程式,以電影《Alien 異形》中的外星物種取名,是為「Xenomorph 異形」。

需要經過幾個階段才「進化」成完全體的病毒,與電影中的異形 Xenomorph 的確十分類似(圖《異形》劇照)

「異形」病毒在完成整個感染過程之後,會偷取用戶儲存在銀行 Apps 的私密資料,並且可以截取認證 SMS,以獨力自動完成網上銀行戶口的登入程序,最後盜取用戶在銀行戶口內的財產。

超強變異感染機制繞過審查

「異形」病毒的發作機制(圖 Zscaler ThreatLabz)

「異形」病毒的發作機制與從前的木馬有著明顯不同,黑客為了繞過 Google Play 的防護掃描機制,將有害的木馬程序獨立於 Apps 之外,待用戶將一個看似實用無害的 Apps 下載安裝到手機之後,Apps 就會要求用戶提供系統的存取權限,當用戶未虞有詐、為 Apps 提供相關權限之後,該 Apps 就會自行將自己設定成系統管理員,並且將用戶的管理權限取消,令用戶不能刪除已安裝的惡意 Apps。

當 Apps 被運行後,它首先會從一個遠端的 Firebase 伺服器得到一個下載連結,該連結通常會導引至 GitHub,隨後手機就會從那取得惡意軟件的安裝檔案,最後再從一個 Telegram 頁面取得之後的運作指示。整個過程非常迂迴,但卻可以有效地避開多重審查。

2 大異形 Apps 潛伏 Google Play

面對這類型的木馬 Apps 威脅,作為用家必須要時刻留意自己所安裝的 Apps 是否安全,盡量避免從不知名的源頭下載 APK 安裝、尤其安裝動作是由新下載 Apps 自行建議的話更要留神。

而 Zscaler ThreatLabz 在報告中亦公布了有類似可疑活動的惡意 Apps,分別為《Todo: Day Manager》,以及《経費キーパー》,兩者都是標榜簡約的實用 Apps,功能本就不多,但實用小巧的背後亦令他們成為病毒入侵的最佳載入口,如果近來有下載安裝的話務必要盡快刪除。