圖片來源: 

Zscaler

網路安全防護業者Zscaler上周揭露了Marcher木馬程式新手法—透過色情網站誘導Android用戶下載惡意程式。

出現在3年前且不斷演進的Marcher為一機密資訊竊取木馬,它會偽造Google Play的付款頁面或金融程式的登入頁面,以取得使用者的機密資訊。3年來Marcher的目的沒變,但手法卻愈來愈縝密。

最新出現的Marcher變種會先透過含有色情網站連結的電子郵件或簡訊來吸引使用者,當使用者點選連結以造訪相關網站時,即會跳出一個要求使用者安裝Adobe Flash Player更新版的視窗,同時提醒使用者取消「自未知來源安裝程式」(install apps from unknown sources)的安全設定,繼之以執行程式功能為名要求使用者賦予裝置管理權限。

在安裝完成之後,Marcher即可連至由駭客掌控的C&C(Command & Control)伺服器,允許駭客檢視裝置上所執行的程式,駭客則會傳遞一則多媒體簡訊(MMS)到使用者裝置上,並引導使用者連至Google Play官方網站上的X-VIDEO程式。

在下載完免費的X-VIDEO程式後,Marcher會顯示一個偽造的Google Play付款頁面,並要求使用者輸入信用卡資訊以完成帳號設定。

事實上,X-VIDEO程式是由色情網站X-VIDEO所打造的行動程式,且為Google Play上的合法程式,下載次數已超過10萬,Google在接到Zscaler的通知之後還重新確認了X-VIDEO是個乾淨的程式。

Zscaler認為,要求使用者造訪Google Play與下載X-VIDEO很可能都是幌子,目的是為了合理化之後出現的假造Google Play付款頁面。

由於駭客可得知受駭裝置上所執行的程式,因此Marcher的其他變種也已透過同樣的感染手法(色情網站+Flash更新),來要求使用者於偽造的金融程式登入頁面上輸入帳號資訊。

目前已有十多個金融程式遭到Marcher鎖定,包括PayPal、澳洲的BankSA與NetBank、德國的DKB及ING Direct等。

Zscaler除了奉勸使用者不要啟用「自未知來源安裝程式」的功能之外,也建議使用者可以透過「設定」>「安全」>「裝置管理」來檢視是否有任何具備裝置管理權限並採用Adobe Flash圖示的程式,若發現了則可先關閉它的管理權限再將其移除。


Advertisement

更多 iThome相關內容