備註請放最後面 違者新聞文章刪除
1.媒體來源:
iThome
2.記者署名:
文/陳曉莉 | 2021-11-30發表
3.完整新聞標題:
超過30萬Android用戶自Google Play下載了含有後門的行動程式
4.完整新聞內文:
荷蘭資安業者ThreatFabric在本周警告，儘管Google Play的安全把關愈來愈嚴格，但駭
客依然能夠成功進駐該行動程式市集，利用具備完善功能的行動程式夾帶後門，再藉由偽
造的更新來植入金融木馬程式，在4個月內就有超過30萬次的安裝，讓使用者成為潛在的
受害者。
駭客的手法與時俱進，特別是Google甫於本月變更了無障礙服務（Accessibility
Services）的使用條件，過去相關的API是這些惡意程式繞過Google審核的主要管道之一
，於是駭客只好儘量減少行動程式中惡意程式碼的足跡，以期躲過偵測，再藉由之後的更
新，選擇性地植入金融木馬，以竊取受害者的金融憑證。
ThreatFabric即發現，自今年8月以來，就有4款金融木馬家族，利用此一手法進駐了
Google Play，它們分別是Anatsa、Alien、Hydra及Ermac，每款金融木馬所借道的惡意程
式各自不同，由於這些惡意程式只嵌入了極少的惡意程式碼，幾乎都曾或迄今仍躲過防毒
軟體的偵測，目前相關惡意程式的安裝數量已超過30萬次。
其中的Anatsa主要利用6款惡意程式散布，包括PDF Document Scanner Free、QR
Scanner 2021、QR Scanner、PDF Document Scanner - Scan to PDF、PDF Document
Scanner及CryptoTracker，它們都具備如程式說明所描述的完整功能，而且評價不錯，加
總的下載量超過20萬次。
圖片來源_ThreatFabric
當使用者安裝上述任一種程式之後，使用者將被迫進行更新以繼續使用，這時駭客就可透
過C&C伺服器於使用者裝置上植入Anatsa。不過，駭客並不會在所有安裝惡意程式的裝置
植入金融木馬，而是依照這些裝置的位置而定，例如只在位於英國、荷蘭或德國的
Android用戶裝置植入金融木馬，駭客也能依照當時的策略，變更植入金融木馬的區域。
圖片來源_ThreatFabric
Anatsa是個擁有RAT能力的金融木馬，不但可竊取憑證，儲存紀錄，也能側錄鍵盤。
至於Hydra與Ermac都是透過一款名稱為QR CreatorScanner的Android程式來散布，該程式
的安裝數量超過1.5萬，所鎖定的攻擊區域還包含美國。
Alien所利用的程式包括Master Scanner Live、Gym and Fitness Trainer與PDF AI :
TEXT RECOGNIZER等，下載量超過9.5萬次。
ThreatFabric指出，有些程式在使用者下載的當下完全沒有任何惡意功能，以躲過Google
的偵測，也避免使用者起疑，甚至是在植入金融木馬之後，程式仍一如往常地正常運作，
這些以合法掩護非法的手段愈來愈受到駭客青睞，也讓偵測變得更困難，建議Android用
戶在下載程式時應更加小心。
5.完整新聞連結 (或短網址):
https://www.ithome.com.tw/news/148094
6.備註:
呼~還好我用iPhone