【賊喊捉賊】黑客集團假扮KDDI 送防毒軟件為名實則播毒
日本最近發現一種 Android 病毒 FakeCop,它被偽裝成日本人常用的防毒軟件,一旦手機用家不慎安裝,FakeCop 就會自動掃描手機內有否安裝其他防毒軟件,並用兼容性問題為借口,要求用家授權刪除。雖然事件發生於日本,但大家都可以引以為鑑。
日本網絡安全研究員 Yusuke Osumi 最新發現,一個不知名的黑客集團正假扮成日本電訊商 KDDI,向客戶發出電郵或 SMS 短訊。訊息的內容是為客戶提供日本最受歡迎防毒軟件供應商 Anshin Security 的免費手機安全軟件,引導用家下載及安裝使用。專家指出黑客除了假扮 KDDI 之外,更設立虛假專頁讓用家誤以為正在瀏覽 Anshin Secuiry 的官方下載專頁,如用家點擊下載,實際上卻下載了一隻變種資訊盜竊病毒 FakeCop。
專家進一步解釋,黑客集團為了令 FakeCop 的感染部分可以成功進入手機,實施了多種方法繞過防毒軟件偵測。首先,黑客使用 Bitwise XOR 技術將惡意程式加密,只有在特定情況下才會被解密。其次是當 FakeCop 被執行時,它便會先掃描手機,如發現已安裝其他防毒軟件,便會彈出通知要求用家移除。完成這一步驟後,才會執行上述解密程序,正式將完整的惡意程式下載並安裝。專家說由於防毒軟件需要相當高的權限才可移除病毒,因此即使用家發現 FakeCop 要求獲得大量權限亦不會有所懷疑。
現階段專家亦未肯定發動攻擊的集團身份,但由於 FakeCop 使用 duckdns.org 的動態 DNS 去散播病毒,手法與 Medusa 及 Flubot 兩種病毒相似,因此懷疑與兩者有關。而暫時 FakeCop 在 VirusTotal 病毒資料庫的記錄顯示,在六十多種防毒軟件中只得 22 種已有病毒特徵,因此入侵手機的成功率依然偏高。專家呼籲 Android 手機用家不單要避免隨便安裝第三方軟件,即使軟件已在 Google Play Store 上架,也要在詳細閱讀評論及要求授權後,才決定是否安裝。
