科技圈不平靜已經不是一兩天的事了,今日資安公司趨勢科技發現,有駭客利用偽裝成熱門應用程式的 APP 誘使使用者下載,一旦安裝後就會在手機中植入殭屍程式接收遠端遙控指令以竊取檔案資料。
韓國共有 20,000 多支智慧型手機因為安裝第三方 APP 商店提供的應用程式,感染了名為 ANDROIDOS_KRBOT.HRX 的惡意程式,根據趨勢科技研究,這些駭客攻擊手法為蒐集各種破解版 App 程式,將它們重新包裝後,並加入自己的惡意程式碼,接著再散布到各種BT下載網站、網路論壇以及各式各樣第三方App程式商店裡誘使使用者下載,目前不只韓國使用者受害,其他地區也有案例傳出。
▲駭客利用論壇散播惡意 APP 連結,並用 Google Drive 讓使用者下載。
▲韓國以外的地區也發現惡意程式蹤跡。
惡意 App 程式一旦執行,會連上預先設定好的電子郵件伺服器,這些電子郵件帳號專門用來接收一位名為「Res Sou」的寄件人所發出的加密指令。電子郵件當中的加密文字解開之後是兩個伺服器的位址,一個是 Socket 伺服器,另一個為 HTTP 伺服器,駭客透過 Socket 伺服器讓受感染裝置中的殭屍程式,接收遠端遙控指令以竊取檔案資料,並透過 HTTP 伺服器上傳或下載所竊取的檔案資料。
▲暗藏的殭屍程式。
▲電子郵件中的加密遙控指令。
從該電子郵件帳號的近期活動可發現,駭客很有可能是透過日本的代理伺服器(Proxy)來隱藏行蹤,受害者的資料會被傳送至特別的 IP 位址,這些伺服器分別位於馬來西亞和德國。
趨勢科技資深技術顧問簡勝財表示,雖然目前使用者下載的數量還不高,但該惡意程式現身中國網路論壇,代表駭客已經將網撒向更多可能的受害者,建議使用者下載 APP 時,最好只從官方 App 商店或官方網站下載,盡量避免使用第三方應用程式商店。
但是最近發生的次數也太頻繁了些。
Apple 也好 Google 也好,
都應該把授權確認對話框寫得聳動一點,
至少可以嚇退一些一知半解的使用者。