新型 Android 惡意軟體偽裝成系統安全更新訊息

avast_report_Cosiloon

行動資安公司 Zimperium zLabs 表示,Android 上出現一種新型惡意軟體,會假冒成系統安全更新通知,若使用者在誤以為真而點擊訊息,就會安裝此間諜軟體,使其得以獲得 Android 手機控制權,在使用者不知情的狀況下偷偷錄音、撥打電話、拍照、取得 WhatsApp 這類通訊軟體中的訊息內容,甚至搜尋 Android 手機上特定檔案類型。

zLabs 的研究人員指出,這種侵入應用程式是一種功能極其複雜的惡意間諜軟體。一旦安裝,使用者的設備便會註冊在 Firebase 命令和控制(Command and Control,C&C)伺服器,將 WhatsApp 訊息內容、儲存資料、網路連線及許多詳細資料回報給該伺服器。

此間諜軟體會透過多種方式觸發,包括:安裝新 app、收到簡訊文字訊息,甚至是新增聯絡人。然後,間諜軟體便開始盜錄使用者與其他人的通話及簡訊內容。為了不留下蹤跡,此間諜軟體會在接到 C&C 伺服器回應「行動成功」後,立即刪除檔案,使用者完全被矇在鼓裡。

反觀  iPhone 及 iPad,由於 iOS 系統上所有 App 下載及更新皆必須自 App Store 取得,故可以提供提供多層保護,確保軟體沒有包含惡意軟體。且所有 App 都以 Sandbox 技術限制,來保護使用者資料,有效避免 App 未經授權存取。此外,Apple 更在 iPhone 及 iPad 等 iOS 硬體上加入額外安全保護,以「安全隔離區」副處理器專門處理加密靜態資料及生物特徵辨識功能,其與主處理器隔離以提供額外一層安全性。即使裝置核心遭入侵,「安全隔離區」也可維持其加密編譯作業的完整性。如此重重保護之下,這類假冒系統更新的間諜軟體手法,不易在 iOS 上實現。