Android 用戶小心!病毒偽裝《Pokémon GO》竊聽對話

恰逢《Pokémon GO》一週年,正在美國芝加哥舉辦「Pokemon GO Fest」活動,卻傳出有一款 Android 後門程式「GhostCtrl」偽裝成《Pokémon GO》,偷偷錄音、錄影,還能在使用者毫不知情下遠端操控受感染的裝置。


(圖片來源: 趨勢科技)

據趨勢科技消息,最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲,會引來更危險的威脅:可操控受害裝置的 Android 惡意後門程式「GhostCtrl」,它會暗中操控感染裝置的多項功能,而且「GhostCtrl」有三種版本:

  • 第一版會竊取資訊並掌控裝置的特定功能
  • 第二版會進一步操控更多功能,
  • 第三版則吸收了前兩版的優點之後再加入更多功能。

GhostCtrl 其實是曾登上在 2015 年 11 月媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一,只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。

然而最恐怖的是「GhostCtrl」會偽裝成熱門的應用程式,像是最近回溫的《Pokémon GO》,同時它的程式名字也大多叫做 App、MMS、whatsapp,甚至是《Pokémon GO》。

當手機 App 啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。此外,這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行。

接著,這個煩人的惡意 APK 會在使用者毫不知情下連線,並在幕後操縱(C&C)伺服器來接收指令;駭客可以暗中操縱裝置的功能,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,例如通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等。

也因此記憶企業最好部署多層式資安機制才能有效管理資料風險,同時還得要隨時保持裝置更新,藉此來達成防毒功能。

相關文章:

圖片及資料來源:趨勢科技


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。

標籤: ,