安卓惡意程式偽裝遊戲APP 點擊便可竊取帳密、個人資產

記者孫敬／編譯

近期資安公司Trustwave SpiderLabs的分析師，在追蹤臉書的釣魚廣告時發現，一個結合「點擊詐欺廣告」和「帳號密碼竊取」的惡意安卓應用程式（APK），開始流竄東南亞、拉丁美洲以及部分歐洲地區。據悉該惡意程式會偽裝成休閒遊戲或是任務獎勵，在臉書或是Chrome旁邊誘導使用者離開Google Play商店下載，以繞過Google內建的安全審查機制，利用「免費賺5美元」或「建立你的廣告活動」等社交工程手法進行誘騙。

延伸閱讀：思科ISE爆3項CVSS等級10漏洞 已證實遭駭客濫用籲盡快更新

駭客利用使用者點廣告賺錢釣魚手法，竊取帳密資料

一旦惡意的APK檔案被安裝到被害人的手機，該應用程式便會要求大量且不合理的權限，例如相機、聯絡人、帳戶管理以及在前景運作，這些權限遠超一般普通遊戲或優惠券應用程式需求。

Trustwave SpiderLabs這次茶道的案例，是一個偽造的網域自動投放了一個名為fb20-11-en.apk的惡意程式，經過分析發現這套攻擊手法，能夠生成數十種不同的變種應用程式，這些程式會針對不同地區偽裝成當地銀行、電信公司或博弈平台，但它們都源自一套共同的程式碼。

在背景運作的假冒登入頁面，則會暗中竊取使用者的帳號、密碼，甚至偶爾連一次性驗證碼（OTP）也一併盜走，並將這些敏感資訊發送到加密的命令與控制（C2）伺服器。分析師警告，這種雙重目的的架構，讓惡意軟體可以立即從每台受感染設備中獲得不法利益，同時收集被害人資料，以便轉售或綁架使用者的帳戶。

安裝手法高明：利用開源框架規避偵測，難以防範

這種惡意程式的安裝過程也相當狡猾，通常是透過社交媒體訊息或QR Code海報引導用戶進入一個偽造的登陸頁面。點擊「立即開始」按鈕後，會立即下載APK檔案，更重要的是，它會巧妙地將檔案路徑與看似合法的子網域（例如 apk.kodownapp.top）結合，以此來抑制Android系統正常的安裝來源警告。

一旦程式被執行，它會利用開源的 ApkSignatureKillerEx 框架，將第二個惡意程式（origin.apk）植入到自己的目錄中，卻不影響原始簽名，這使得作業系統會將其視為可信任的升級。在首次運行時，該應用程式會向特定的伺服器發出信號，取回加密的配置檔案，然後才會啟動廣告點擊自動化或憑證竊取模組。這種延遲激活的策略，大大降低了大多數沙箱（Sandbox）偵測工具賴以判斷惡意行為的「噪音」。

等到使用者注意到手機異常耗電或數據用量飆升時，駭客早已透過偽裝成「崩潰日誌」的備用通道，將廣告收入和竊取到的帳號密碼傳送出去。資安專家提醒，目前沒有簡單的應對方案，民眾務必提高警覺，不要從不明來源下載任何應用程式，並仔細檢查APP要求的權限是否合理。

資料來源：Cyber Security News

瀏覽 299 次