【漏網之魚】Google Play Store又失守 SharkBot銀行木馬扮防毒軟件上架
再有惡意軟件成功繞過 Google Play Store 的病毒偵測機制上架,這款名為 SharkBot 的銀行木馬病毒假扮成具備系統清除功能的防毒軟件,誘騙 Android 智能手機用家下載,雖然暫時未有太多人中招,但已證明官方 app store 也不一定安全,Android 用家要自保,應該減少非必要的 app 安裝。
為了防止惡意軟件上架, Google 早年已加入 Google Play Protect 功能,以 AI 自動掃描新申請上架的 apps,偵測程式碼有否暗藏惡意功能。雖然成效顯著,例如在 2020 年成功阻止 19 億惡意軟件上架,不過,自動掃描技術仍存在漏洞,例如黑客可將惡意程式碼加密或混亂化,因此時不時也聽到惡意軟件突圍上架的消息。而這次被 NCC Group 研究員發現的惡意軟件 SharkBot,便利用了多種手法繞過偵測。
SharkBot 最早於去年 10 月被發現,它被定位為銀行木馬惡意軟件,而在最新發現的樣本中,它具備四種惡意功能。首先是它可製造一個肉眼看不到的畫面,將 Android 用家輸入的銀行帳戶資料上傳黑客;其次是 keylogging 功能,詳細記錄用家輸入過的文字。第三項功能是攔截 SMS 短訊,讓黑客可在用家不知情下截取帳戶發出的雙重因素驗證碼 (2FA);最後一項是在取得 Android 系統的 Accessibility Services 權限後,私下模擬各種屏幕點擊動作,令黑客可以取得更多權限,為所欲為。
NCC Groups 研究員指出,SharkBot 與其他銀行木馬最大的分別在於它具備自動回應系統通知的能力,透過這項功能,黑客便可隨時將新功能及負載下載至被感染的手機。而且 SharkBot 為了避過防毒軟件偵測,在首階段入侵過程中只會下載極輕量的程式碼,另外黑客又透過 domain generation 演算法,令防毒軟件更難辨識下載位址有不良紀錄,因此才能成功避過 Google Protect 偵測上架。雖然聽起來有點不切實際,但研究員的唯一建議,便是 Android 用家最好盡量減少安裝非未必要的軟件,同時如果要下載防毒軟件,應只選擇可信的軟件開發商。
相關文章:相關文章:【講就兇狠】攔截Stalkerware大測試 Google Play Protect成功率僅三成
https://www.wepro180.com/stalkerware210810/
