當心安卓木馬!惡意軟體偽裝Google Play商店 手機不慎安裝恐被植入木馬
記者孫敬/編譯
一個複雜的安卓(Android)惡意軟體活動近期再度浮現,駭客利用精心設計的假網站,完美模仿合法的Google Play商店應用程式頁面,來散布臭名昭著的「SpyNote 遠端控制木馬」(RAT)。
駭客會建立知名安卓應用程式安裝頁面的靜態HTML仿製品,這些頁面連同CSS樣式和JavaScript功能都一模一樣,藉此誘騙受害者直接從受感染的伺服器上下載惡意APK檔案。
延伸閱讀:微軟Outlook手機版大當機 現釋出修補程式並將推大更新
木馬功能全面升級,可遠端操控手機、竊取帳密
美國資安業者Domaintools指出,這是一場持續性的SpyNote惡意軟體活動,並觀察到駭客在戰術上有了顯著的演變。這些惡意基礎設施主要利用兩個IP位址,並透過Namesilo LLC 和 XinNet Technology Corporation兩家公司註冊網域。
一旦SpyNote木馬被安裝,它將成為一個極具侵入性的安卓遠端控制木馬,具備廣泛的監控功能。駭客可以遠端控制裝置的鏡頭和麥克風、管理通話、執行任意指令,甚至能進行高階的按鍵側錄,專門竊取應用程式的登入憑證。
此外,它會利用安卓的「無障礙服務(Accessibility Services)」來竊取雙重認證碼(two-factor codes),並透過偽造畫面來欺騙使用者。
這個惡意軟體採用了多階段的部署流程,並利用動態酬載技術和DEX元件注入,來躲避資安軟體的偵測。它的初始APK會讀取加密資產,並利用一個16位元的AES金鑰來解密第二階段的 SpyNote 酬載。同時,該惡意軟體還透過控制流混淆和識別符混淆,使靜態分析變得極為困難,確保其主要的惡意功能在執行前都能保持隱蔽。
資料來源:Cyber Security News
