新的 Android 金融惡意軟體 MailBot,偽裝成挖礦軟體大規模擴散中

據 F5 Labs 的報告指出,MailBot 的控制伺服器位置設於俄羅斯,且其使用的 IP 位置與 2020 年 6 月起的多次惡意軟體散布攻擊活動有關。

目前觀察到的 MailBot 散布方式,以在各類與加密貨幣投資與應用相關的網站中「推廣」為主;用戶在這類網站上可以下載 APK 檔案並手動安裝;而這些惡意軟體外觀與可在 Google Play Store 下載的 TheCryptoApp 之類的應用軟體極為類似。

報告也指出,其中一種含有惡意程式碼的惡意軟體,透過一個名為 Mining X 的網站來散布;該網站宣稱用戶只要下載安裝該網站提供的挖礦程式,即可輕鬆透過手機挖掘加密貨幣。

該惡意軟體一旦安裝到 Android 裝置上,會先向用戶要求取得程式啟動器(launcher)權限,接著就會自己取得各種裝置與系統存取權限;目前 F5 Labs 指出 MailBot 可以擱截通知內容、簡訊與電話通話、擷取螢幕畫面、註冊開機啟動項目、透過 VNC 進行裝置遙控等等,甚至可以竊取 Google Authenticator 內產的二階段驗證碼,並且自動填寫驗證碼。

目前 MailBot 主要感染義大利與西班牙的 Android 用戶,竊取其手機內部的機敏資訊,如金融服務登入資訊、加密貨幣錢包密碼等。資安專家指出,該惡意軟體很可能擴大其影響範圍。

建議 Android 手機用戶應避免自 Google Play Store 以外的地方下載安裝軟體,尤其切勿自行安裝 APK 檔案;遇到安裝時要求過多或過高權限的 App 時,也應拒絕給與權限並立即移除。

相關連結

  1. TWCERT/CC
  2. F5 Labs Investigates MaliBot
  3. New MaliBot Android banking malware spreads as a crypto miner

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。

回到頂端