資安機構曝超過20款惡意程式攻陷Google Play！專竊虛擬錢包助記詞

記者孫敬／編譯

資安研究機構Cyble研究與情報實驗室（CRIL）近日揭露一項精密釣魚詐騙行動，駭客透過Google Play商店散佈超過20款惡意應用程式，專門竊取用戶的加密貨幣錢包助記詞。這場有組織的攻擊鎖定多個熱門加密貨幣平台，包括SushiSwap、PancakeSwap、Hyperliquid和Raydium等，對廣大加密貨幣用戶構成嚴重威脅。

延伸閱讀：網路釣魚手法再進化！駭客QR Code、定位、CAPTCHA三大陷阱手法曝光

駭客利用遭盜用開發者帳號，偽裝合法應用

據外媒報導，駭客會利用先前曾發布合法遊戲、影片下載器或直播應用程式遭駭的開發者帳號，將惡意程式偽造成合法的加密貨幣錢包和交易所。經過調查發現，這些被偽造的應用程式，累積了超過10萬次的下載量，藉由將命令和控制（C&C）伺服器網址嵌入在應用程式的隱私權政策中，並使用相似的套件命名模式作攻擊。儘管手法一致，這些惡意應用程式仍透過不同的開發者帳號進行分發，以規避Google的偵測。例如，偽裝成Pancake Swap的應用程式套件名稱為co.median.android.pkmxaj，而仿冒Suiet Wallet的套件名稱則是co.median.android.ljqjry。

兩大攻擊手法：誘騙用戶輸入助記詞

資安分析揭示，這些網路犯罪分子主要採用兩種攻擊手法。第一種是利用Median框架，將釣魚網站快速轉換為Android應用程式。這些應用程式的配置檔案中包含了釣魚網址，例如hxxps://pancakefentfloyd.cz/api.php。當用戶開啟應用程式時，釣魚介面會在WebView組件中加載，誘騙其輸入12個助記詞（Mnemonic phrase）登入假的虛擬錢包。

第二種方法則是直接將釣魚網站加載到WebView中，無需透過開發框架。惡意軟體會直接開啟釣魚網址，例如hxxps://piwalletblog.blog，以偽裝成Raydium錢包等合法服務。進一步調查駭客基礎設施後發現，單一IP位址（94.156.177.209）包含了超過50個與本次釣魚行動相關的詐騙域名。

CRIL在發現後已立即向Google通報這些應用程式，多數惡意應用程式已被從Google Play商店移除，但報告發布時仍有部分活躍的惡意程式。

資安專家建議，用戶應僅從經過驗證的開發者處下載應用程式，並仔細檢查應用程式的評論。同時，應避免任何要求輸入助記詞等敏感資訊的應用程式。此外，用戶應在Android設備上啟用Google Play Protect功能，並盡可能在所有帳戶上實施多因素驗證。

資料來源：Cyber Security News

瀏覽 416 次