示意圖,與新聞事件無關。

今年稍早資安業者Zscaler揭露專門竊取資訊的木馬程式Marcher,如今該公司發現Marcher又再更進化,假冒成Android韌體更新程式,或是Facebook Messenger、Gmail等App網頁誘使用戶上鉤,而躲避追查的技術也更高。

Marcher首度出現於2013年,鎖定Google Play Store,等使用者開啟Play Store App時展示覆疊的HTML網頁,以霸佔螢幕的方式強迫使用者輸入信用卡資訊。後來Marcher又演化到冒充金融機構騙取用戶的信用卡資訊,範圍遍及德、澳、法、美、英國國及土耳其。

最近Zscaler發現Marcher在多方面都演化出更高明的技巧。首先,原本Marcher只透過假冒的Amazon及Google Play Store app散佈,但本月研究人員發現Marcher假冒Android韌體更新程式。它在用戶裝置植入Firmware_Update.apk的程式,顯示裝置有漏洞,為防遭病毒入侵竊取個人資訊,要求他們儘快安裝升級程式。而在安裝時,Marcher會藉機要求使用者輸入管理員資訊。

另外,Marcher假冒的App對象也愈來愈大膽;原本它只假冒Google Play Store資料輸入頁,研究人員在最近的樣本中觀察到它會用戶使用知名App時,包括Viber、WhatsApp、Skype、Facebook Messenger、Gmail、Chrome、Intagram、Twitter和Line等等,也會跳出假冒的HTML網頁騙取用戶資料。

此外,研究人員也發現Marcher傳送竊取用戶及裝置資訊的C&C通訊,也從簡單的HTTP協定進階到加密的SSL。這隻程式還會判斷用戶是否為俄羅斯獨立國協,如果是就會停止活動,顯示這隻木馬控制中心可能來自本地區。同時作者開始使用base64編碼及字串取代功能來混淆程式以躲避追查,這也是前所未見。

研究人員表示,Marcher種種進化使它成為Android裝置散佈範圍最廣的威脅。為免受害,呼籲使用者僅從受信賴的應用程式商店如Google Play下載App,也可從裝置上的「安全」設定取消勾選「不知名的來源」。


Advertisement

更多 iThome相關內容