ESET 的網路安全團隊發布了一項新研究,該研究中分析三個針對八家馬來西亞銀行客戶的惡意應用程式。這些惡意網站使用相似的域名名稱,偽裝成正牌的虛假網站竊取銀行憑證,來吸引毫無戒心的使用者上鉤。
在2021年底,該項行為因為惡意者冒充清潔服務公司 Maid4u,並建立一個名稱相似的網站,試圖誘導受害者下載惡意的Maid4u應用程式而被發現。除此之外,ESET 研究人員還發現了另外四個模仿馬來西亞購物網站和清潔服務公司的虛假網站。Grabmaid,Maria’s Cleaning,Maid4u,YourMaid,Maideasy 和 MaidACall六家清潔服務公司與 PetsMore 寵物店,此七家公司都被冒充,且這些虛假網站僅可使用於馬來西亞。
這些虛假網站不會直接讓受害者在網站上下單購買,而是誘使你點擊Google Play商店下載應用程式的按鈕,然而實際上點擊後,並沒有進入 Google Play 商店,而是連結到惡意者所創的應用程式安裝說明。接著,該說明會要求受害者選擇啟用「安裝未知應用程式」(Android 系統的非預設安全機制)以成功下載應用程式。
此應用程式的頁面設計得與真實網頁相似,假裝提供商品以供受害者購買,當需要付款時,受害者只能選擇銀行轉帳,且限定為馬來西亞八家銀行Maybank、Affin Bank、Public Bank Berhad、CIMB Bank、BSN、RHB、Bank Islam Malaysia 和 Hong Leong Bank。當受害者輸入銀行帳戶登入資訊並送出後,帳號密碼將會被送至惡意者的伺服器中,並向受害者顯示一條錯誤訊息,通知所提供的使用者ID或密碼無效。同時,轉發受害者所收到的SMS訊息,使惡意者可確認登入資訊並登入帳戶竊取資料。
相關連結:
Charlie Osborne(2022). Fake Android shopping apps steal bank account logins, 2FA codes. ZDNet.
檢自:
https://www.zdnet.com/article/fake-android-shopping-apps-steal-bank-account-logins-2fa-codes/ (Apr. 18, 2022)
