【再度失守】Xamalicious木馬程式突破Google偵測 感染33萬Android設備
網絡安全公司 McAfee 研究員發現一個之前未被偵測到的 Android 木馬程式,這款被稱為 Xamalicious 的木馬程式最遠可追溯至 2020 年,由於它被隱藏在一些看似合法的手機應用程式內,而且又成功於 Google Play Store 上架,因此感染數量達 33 萬,雖然這些程式已被下架,但已安裝的用家仍須手動刪除,以免被繼續盜用手機內的私隱資料。
14 款應用程式受感染
早前 App Defense Alliance 應用程式防禦聯盟的成員之一 McAfee 的研究員發表研究報告,發現 Google Play 上有 14 款感染了 Xamalicious 的應用程式,當中 3 款的下載量各有 10 萬次之多,這 3 款 Android 程式分別為 Essential Horoscope for Android、3D Skin Editor for PE Minecraft 及 Logo Maker Pro。而大多數安裝了這些程式的國家分別為美國、德國、西班牙、英國、澳洲、巴西等國家的用家。研究員指除了在 Google Play 上有 Xamalicious 木馬程式,還在其他第三方商店及網絡上發現 12 款帶有相同病毒的 APK 檔案,由於沒有相關安裝數字,所以相信實際感染量會更多。
研究員指出,Xamalicious 能存在多年,全因它具有很高的隱密性,例如它會分兩階段執行惡意程序,當首次被安裝後,黑客會先偵測安裝手機的硬件設備及受害者身處的地區,待確認受害者是目標攻擊人士,以及不是安全公司常用作捕捉惡意程式的虛擬機器,才會從控制中心下載第二階段的惡意負載,藉此減少攻擊錯誤的目標。此外,黑客亦使用 Microsoft 專為開發跨平台程式而提供的開源 Xamarin 框架作為開發平台,都可進一步減少被安全工具偵測的風險。
引導用家授權使用無障礙服務權限
當成功安裝完整的惡意負載後,研究員指 Xamalicious 便會開始引導用家授權使用 Android 的無障礙服務權限,一旦用家授權使用,它將可暗中執行點擊屏幕指令,讓黑客可以進一步獲取手機內安裝的其他應用程式的使用權限,破壞力可以很驚人。其中研究員又發現 Xamalicious 與一個名為 Cash Magnet 的廣告欺詐應用存在關聯,因而相信黑客還會透過暗中點擊屏幕功能,在手機上安裝其他廣告軟件及點擊廣告賺錢。
雖然 Google Play 曾被多次發現有暗藏惡意功能的應用程式成功上架,不過,App Defense Alliance仍然強烈建議 Android 用家只應在官方商店下載及安裝 app 使用,因為始終有一定的監測程序。另外,聯盟建議用家應只安裝必須的應用程式,同時在安裝前細心閱讀程式所需取用的權限,以及其他用家的評論,如發現要求的授權與程式本身的功能不合,又或評論一窩蜂讚好或是疑似由機械人撰寫,便應避免安裝使用,減低手機受到感染的風險。
