新型 Android 木馬軟體偽裝成 Google Play 更新

經常更新行動裝置系統及 app，是保護行動裝置免受網路威脅的重要措施之一。然而，駭客卻利用這一點，偽造更新頁面誘騙使用者，以侵入裝置 — 例如最近網路上盛行的 Android 木馬軟體。

網路安全公司 Cyble 在部落格文章上示警，一種名為 Antidot 的新型 Android 木馬軟體正在肆虐，此惡意軟體能竊取 Android 手機上的資料，包括聯絡人和簡訊內容、獲取憑證、鎖定和解鎖裝置、轉接來電等等。

假冒 Google Play

Google Play 是 Android 手機上最重要的 app 之一，使用者透過它下載並更新 app。駭客看準這一點，將惡意軟體偽裝成 Google Play 更新，取得使用者信任，藉此滲透 Android 裝置。

與其他惡意軟體一樣，它使用網路釣魚訊息來誘騙使用者安裝。毫無戒心的使用者可能會收到「好像」來自 Google 的電子郵件（或簡訊），告訴使用者需要更新 Google Play，並提供連結導引至惡意軟體，以 APK 檔案側載至裝置上。這個惡意軟體還會用各國語言偽造 Google Play 更新頁面，包括英語、德語、法語、西班牙語、俄語、葡萄牙語和羅馬尼亞語等。這表示 Antidot 木馬軟體背後的駭客同時針對多個國家/地區的 Android 使用者進行攻擊。

安裝這個惡意軟體後，會開啟 Android 的輔助功能設定頁面，要求授予更多系統操作權限，使 Antidot 能夠完全控制 Android 手機、查看受害者螢幕上的內容，並操控裝置上的 app 和其他資料。

從覆蓋攻擊到鍵盤記錄

Antidot 與其它銀行木馬軟體一樣，都是透過駭客控制的 C&C（command and control）伺服器，讓惡意軟體與受害裝置直接通訊。Antidot 惡意軟體總共可以執行 35 種不同的命令，從解鎖裝置到撥打電話、收集和發送簡訊、發送推播通知、鎖定裝置等等，還可以從受害裝置的剪貼簿複製文字。

為了竊取密碼和其他憑證，Antidot 使用覆蓋攻擊，類似其他流行的銀行木馬軟體（如 Ermac、Chameleon 和 Brokewell），工作原理如下：當使用者打開手機上的銀行 app 時，惡意軟體會加載一個 HTML 網路釣魚頁面，該頁面的介面看起來就跟使用者要使用的 app 無兩樣。此偽裝頁面覆蓋在原有 app 的最上方，當您使用者輸入密碼登入時，實際上已透過偽裝的釣魚頁面被駭客捕獲，然後駭客可以便可以藉由這些資訊盜取使用者的銀行帳戶，甚至擁有足夠的資訊竊取使用者身分。若惡意軟體未使用覆蓋頁面，也能透過鍵盤記錄，獲取使用者在 Android 智慧型手機上輸入的所有內容，包括密碼。

預防威脅

網路犯罪不斷演變，惡意軟體威脅日益複雜。使用者應提高警覺，避免從不明來源下載軟體，或選擇安全性較高的系統裝置，才能有效保護個人的機密資料。