自2025年3月Klopatra發動攻擊以來，該惡意軟體已透過兩個協調運作的僵屍網路，在西班牙和義大利等地感染了超過3,000台裝置。記者孫敬／編譯

資安公司Cleafy的威脅情報團隊於8月底發現了一種新型的Android遠端存取木馬（Remote Access Trojan,RAT），命名為Klopatra。根據研究人員提供的數據，自2025年3月發動攻擊以來，該惡意軟體已透過兩個協調運作的僵屍網路，在西班牙和義大利等地感染了超過3,000台裝置。

延伸閱讀：顛覆籃球體驗！NBA結盟AWS啟動「深度賽場」AI計畫 解析球賽無形影響力

[caption id="attachment_194131" align="aligncenter" width="710"] Klopatra木馬鎖定免費看串流服務的使用者。（圖／卡巴斯基）[/caption]

Klopatra的攻擊手法與高技術門檻防禦

Klopatra的攻擊主要鎖定那些搜尋盜版電視串流應用程式的使用者。該惡意軟體會偽裝成一款名為「Mobdro Pro IP TV + VPN」的IPTV應用程式。由於這類應用程式不被Google Play商店允許上架，駭客得以輕易誘騙用戶從未知來源下載安裝，從而繞過官方的安全審查。

一旦應用程式安裝完成，它會透過一個簡單的使用者介面，引導用戶點擊「繼續安裝」按鈕，並將用戶重新導向至Android的系統設定頁面，指示其授予至關重要的權限。

1. 遠端控制與銀行竊密

一旦部署成功，Klopatra木馬程式將同時具備銀行惡意軟體和遠端存取工具的雙重功能。它使用虛擬網路運算（Virtual Network Computing,VNC）功能，使攻擊者能夠即時取得對受感染設備的完全控制權。

駭客可以在受害者毫無察覺的情況下，遠端操作裝置，包括在應用程式間導航、輸入PIN碼和密碼，甚至進行金錢交易。

2. 商業級代碼保護與快速迭代

對該惡意軟體的技術分析顯示出其高度複雜性。開發者為了避免被資安偵測工具捕捉，整合了Virbox，一種在行動惡意軟體中極為罕見的商業級代碼保護套件。

此外，攻擊者並未使用標準的Java代碼，而是採用了原生函式庫（Native libraries），這為逆向工程和自動化分析工具增加了額外的防禦層。

Cleafy的研究人員分析了木馬樣本，認為該惡意軟體的幕後威脅行為者可能有土耳其背景。從代碼中發現的操作筆記顯示，該威脅行為者不僅負責開發軟體，還管理著從感染到獲利的整個攻擊鏈。

歐洲金融部門面臨的重大威脅

研究人員在報告中寫道：「Klopatra對金融部門和行動裝置使用者構成了重大且複雜的威脅，尤其是在歐洲地區。」

透過追蹤Klopatra近幾個月的活動，Cleafy已識別出超過40個不同的流通版本，這反映出其快速的開發週期與極高的敏捷性。

研究人員總結：「其快速開發週期所展現的敏捷性，表明操作者將持續完善他們的戰術、技術與程序（TTPs），擴大目標清單，並整合新的規避技術，以搶先資安社群一步。」

資料來源：Cybernews

這篇文章 新型木馬「Klopatra」現蹤！偽裝IPTV應用程式 已駭入3,000台Android裝置 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

駭客利用精心設計的假網站，完美模仿合法的Google Play商店應用程式頁面，來散布臭名昭著的「SpyNote 遠端控制木馬」（RAT）。記者孫敬／編譯

一個複雜的安卓（Android）惡意軟體活動近期再度浮現，駭客利用精心設計的假網站，完美模仿合法的Google Play商店應用程式頁面，來散布臭名昭著的「SpyNote 遠端控制木馬」（RAT）。

駭客會建立知名安卓應用程式安裝頁面的靜態HTML仿製品，這些頁面連同CSS樣式和JavaScript功能都一模一樣，藉此誘騙受害者直接從受感染的伺服器上下載惡意APK檔案。

延伸閱讀：微軟Outlook手機版大當機 現釋出修補程式並將推大更新

[caption id="attachment_189580" align="aligncenter" width="2816"] 假冒的安卓應用程式下載頁面暗藏木馬。（圖／AI生成）[/caption]

木馬功能全面升級，可遠端操控手機、竊取帳密

美國資安業者Domaintools指出，這是一場持續性的SpyNote惡意軟體活動，並觀察到駭客在戰術上有了顯著的演變。這些惡意基礎設施主要利用兩個IP位址，並透過Namesilo LLC 和 XinNet Technology Corporation兩家公司註冊網域。

一旦SpyNote木馬被安裝，它將成為一個極具侵入性的安卓遠端控制木馬，具備廣泛的監控功能。駭客可以遠端控制裝置的鏡頭和麥克風、管理通話、執行任意指令，甚至能進行高階的按鍵側錄，專門竊取應用程式的登入憑證。

此外，它會利用安卓的「無障礙服務（Accessibility Services）」來竊取雙重認證碼（two-factor codes），並透過偽造畫面來欺騙使用者。

這個惡意軟體採用了多階段的部署流程，並利用動態酬載技術和DEX元件注入，來躲避資安軟體的偵測。它的初始APK會讀取加密資產，並利用一個16位元的AES金鑰來解密第二階段的 SpyNote 酬載。同時，該惡意軟體還透過控制流混淆和識別符混淆，使靜態分析變得極為困難，確保其主要的惡意功能在執行前都能保持隱蔽。

資料來源：Cyber Security News

這篇文章 當心安卓木馬！惡意軟體偽裝Google Play商店 手機不慎安裝恐被植入木馬 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

電量最耐操的手機是哪一牌，你知道嗎？特斯拉的自駕系統安全性是不是真的有疑慮？快來看看今天的科技新聞！

站在科技浪頭、探索尖端趨勢，【科技島】每日帶給您最新產業新知，並由AI主播為您編輯播報當日熱門科技新聞，讓您 3 分鐘掌握天下事！

一、手機電池續航力評比　華碩奪冠　iPhone未進前三

最新的手機電池續航力評測，華碩ROG Phone 8 Pro以18小時48分的成績奪冠，OnePlus 12R緊隨其後。評比標準為手機需持續透過5G上網且螢幕亮度設定為150尼特直到電量耗盡。蘋果iPhone與三星Galaxy皆未進入前三名，顯示即使是市場上的主流品牌，也未必能在電池續航力上佔有優勢。

完整閱讀：

二、威脅升級  微軟內部系統遭Midnight Blizzard入侵 

一個與俄羅斯情報機構有關的駭客組織 Midnight Blizzard，近期成功入侵微軟內部系統，竊取了核心原始碼與敏感資訊。此次攻擊不僅限於郵件系統，還深入公司的程式庫。儘管微軟聲稱客戶系統未受實質威脅，但攻擊的嚴重性在不斷升級，凸顯了企業面臨的資安挑戰與防禦的重要性。

完整閱讀：

三、不用基地台也能傳訊息！SpaceX成功測試Direct-to-Cell 

SpaceX成功測試Direct-to-Cell技術，使手機可直接通過Starlink衛星傳送文字訊息，無需透過地面基地台。此項技術允許手機在無訊號地區收發訊息、上網及語音通話，已於美國多地成功測試。SpaceX計劃於2024年推出文字訊息服務，並於2025年推出衛星語音及數據服務。

完整閱讀：

四、沒有藉口了！特斯拉Autopilot過失致死案出現新證據

一封未公開的電子郵件成為特斯拉過失致死訴訟關鍵證據，前總裁Jon McNeill在信中承認過度依賴自駕系統Autopilot可能導致分心。這次訴訟質疑特斯拉對於駕駛者接管控制的研究不足，直到2021年才增加駕駛員監控系統。特斯拉強調Autopilot非取代人類駕駛，需駕駛全神貫注，但系統易使人輕忽風險。

完整閱讀：

五、元宇宙競爭升溫  Google與Meta合作破裂

隨著元宇宙競爭加劇，Meta與Google的合作談判破裂。Google試圖推廣其Android XR平台至Meta的Quest裝置，但遭拒絕。Meta技術長批評Google推銷Android XR的行為，認為這將導致元宇宙生態系統碎片化。Meta渴望主導XR開放作業系統，而與Google的合作可能會限制其創新自由並影響收入分配。

完整閱讀：

六、木馬屠「癌」記　細胞木馬徹底改變肺癌治療

利用患者自身細胞製成的「特洛伊木馬」，研究團隊成功將標靶藥物直接運送到肺癌細胞中，這項技術通過修飾T細胞並從其分離出的細胞膜裝載化療藥物於奈米顆粒上。這些奈米顆粒能精確導航至腫瘤細胞，可以明顯降低腫瘤大小，減少對健康組織的損傷，為肺癌治療帶來革命性改變。

完整閱讀：

影音瀏覽：

https://youtu.be/onWINUr0IG4

這篇文章 20240313─元宇宙競爭升溫  Google與Meta合作破裂｜【AI主播報新聞】 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 荷蘭資安廠商ThreatFabric日前發表一份研究報告，發現安卓（Android）金融惡意軟體 …

編譯／鄭智懷

荷蘭資安廠商ThreatFabric日前發表一份研究報告，發現安卓（Android）金融惡意軟體ERMAC開發者近期推出一款名為Hook的新型惡意軟體，在前者的基礎上增加遠端存取木馬（RAT）等新功能，從而擁有更強的破壞力。

ThreatFabric指出，儘管開發者DukeEugene聲稱Hook為全新的金融惡意軟體產品，但其程式碼、加密方式基本承襲全球前三大流行的惡意軟體之一的ERMAC─另外兩款分別為Hydra與ExobotCompact。

就功能而言，Hook除了具備ERMAC所有的能力，最重大的改變是增加遠端存取木馬，得以執行完整的設備接管（DTO）並完成完整的詐騙鍊，同時也使其更難被相關監測工具發現。

此外，Hook還具備從加密錢包竊取密碼提示詞、盜用通訊軟體WhatsApp、追蹤地理定位（geolocation）等功能，模糊了傳統間諜軟體和銀行惡意軟體之間的界限。

在傳播的方式上，Hook透過偽造成Google Chrome網頁，如com.lojibiwawajinu.guna、com.damariwonomiwi.doceb和 com.yecomevusaso.pisifo，欺騙受害者下載，或是其他像是網路釣魚活動、通訊軟體與Google Play商店等模式散播，感染受害者設備。

而在針對的目標上，Hook主要以美國、西班牙、澳洲、波蘭、加拿大、土耳其、英國、法國、義大利和葡萄牙等國家的機構；近期還新增加了南美洲、亞洲、非洲和中東國家的組織為攻擊目標。

ThreatFabric的資安研究員Dario Durando認為，創建新款惡意軟體的主要缺點通常是難以獲得其他惡意行為者的信任，不過考量DukeEugene在犯罪分子中的地位，Hook或許能克服類似的問題，快速擠身主流惡意軟體之一。ThreatFabric的的報告也提到，由於功能的改良，該惡意軟體得以趕上競爭對手Hydra與ExobotCompact，進一步提高ERMAC惡意軟體家族在網路犯罪市場的市占率。

資料來源：ThreatFabric、The Hacker News

這篇文章 安卓用戶小心！具木馬功能惡意軟體Hook問世 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。

編譯／鄭智懷 微軟（Microsoft）旗下的資安團隊安全威脅情報（Security Threat Intel …

編譯／鄭智懷

微軟（Microsoft）旗下的資安團隊安全威脅情報（Security Threat Intelligence）近期發表最新報告，說明四大針對macOS 系統的勒索軟體─KeRanger、FileCoder、MacRansom 和 EvilQuest─已知的攻擊策略。

該團隊表示，雖然KeRanger等惡意軟體存在已久，「但其擁有可能存在的各種惡意功能與行動。」

報告指出，四大勒索軟體感染目標後，主要運用兩種方式搜尋要加密的文件：FileCoder 和 MacRansom針對二進制檔案；KeRanger 和 EvilQuest則使用程式館函數（library function）。

其次，KeRanger、MacRansom 和 EvilQuest具有分析惡意軟體是否能在目標設備中運作，抵制或調適安全設置的功能。而KeRanger甚至採用延遲啟動的技術，在程式啟動後隨即休眠三天以逃避資安工具的檢測。

該團隊進一步分析指出，EvilQuest 和 MacRansom開方商為了確保惡意程式在感染設備重啟後仍能運行，或是再度修改被監視的檔案，開發出代理程式（launch agent）與系統核心佇列（kernel queues）功能。

四大勒索軟體的初始向量（initial vector）─亦即亂碼加密─的模式主要透過受害者下載並安裝具有木馬的惡意軟體，以及在感染後使目標設備得到最高酬載。具體而言，FileCoder使用ZIP程式；KeRanger使用加密區塊鍊接（cipher block chaining）；MacRansom和EvilQuest都使用對稱式加密（symmetric encryption）。

此外，相較於其他典型的勒索軟體，EvilQuest在2020年7月被發現後，資安專家觀察到該軟體還擁有鍵盤紀錄、竊取資訊，以及禁止使用資安工具等不同的功能。

報告最後提到：「勒索軟體仍然是影響組織的最普遍和最有影響力的威脅之一，攻擊者不斷發展相關技術並擴展交易技巧以攻擊更廣泛的潛在目標。」

資料來源：The Hacker News

這篇文章 <a>微軟揭露macOS </a>系統  四大勒索軟體攻擊策略 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。