【時間差攻擊】老翻Android app誘用家安裝 攔截SMS訊息偷刷信用卡
Check Point 網絡安全專家發現,一個名為 FluHorse 的 Android 惡意軟件,由上年 5 月開始,專門向東南亞地區網民出手,特別是其中兩款老翻了台灣電子道路繳費及越南銀行的 Android apps,各自都有 100 萬下載量,相信已有極多用家受騙,親手將信用卡資料及 SMS 存取權限送給黑客,讓對方可以即時網上刷卡。
如果從入侵手法分析,專家認為 FluHorse 並沒有特別之處,因為黑客只是將帶有惡意軟件下載連結的釣魚電郵,針對性發送給目標人物,等待對方上釣點擊。
而在這次攻擊中,黑客的目標是竊取受害者的信用卡資料,以及攔截對方經 SMS 接收的驗證短訊,黑客首先便開發出虛假手機應用程式,並模倣官方程式的使用介面,例如台灣的電子道路繳費程式遠通電收 ETC 及越南銀行的 VP Bank Neo,以收件人有欠款為藉口,要求對方下載應用程式,並以信用卡支付費用。
當受害者按指示下載及安裝 app,並授權系統取用 SMS 訊息後,便會被要求輸入信用卡資料,這時畫面會彈出一個等候訊息,指由於系統繁忙,因此約需十分鐘處理,但實際上黑客便會在這段時間內,立即濫用受害者的信用卡購物,並以截取到的 SMS 碼完成確認程序,待受害者發現時已經太遲。
專家又指,黑客為了減少行動被曝光的機會,採用了多種迴避方法。首先當受害者被引導至下載惡意軟件頁面前,黑客會先確認用家使用的智能手機型號,再將合適的 apk 推送給對方;其次是 Android 惡意軟件是以 Flutter 工具開發。
專家解釋,Flutter 是 Google 推出的跨平台開發工具,通過編寫 Dart 程式語言,開發者便可同時開發 iOS 及 Android 手機應用程式。由於 Dart 並非熱門開發程式,因此反編譯有一定難度,出來的程式碼會變得雜亂與難看,增加防毒軟件偵測及研究員分析的難度。
另外,老翻軟件只有三、四版內容,專家說,雖然可能與黑客沒有投入太多資源開發應用程式有關,但頁面愈少,也有減少露出破綻的機會。綜合以上功能,因此有樣本在被捕獲三個月後,放上 VirusTotal 病毒資料庫時,仍未被視為病毒,證明其隱身能力非常高。
由於這類攻擊有上升趨勢,因此專家自然建議用家提高警覺,特別是 Android 用家由於有較自由的權限安裝第三方軟件,所以專家認為,用家必須養成只從 Google Play Store 下載應用程式的習慣,如有需要安裝手機 app,一定要自行到 Play Store 搜尋,並小心確認是否屬於原裝正版的下載頁面。
相關文章:【儲分黨注意】yuu詐騙SMS 一周90宗失97萬 釣魚網站按年激增11倍
