當你試著想要解鎖手機時，有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

想像一下，你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後，它要求管理員權限。你所收到的通知內提到確實會出現此要求，所以你按下同意鍵。你試了一下應用程式，它運作正常。你甚至可以順利完成交易。

第二天，你發現你的手機無法識別你的密碼。你不知道誰變更了它或這如何發生，因為你沒有將手機借給任何人。你嘗試了幾個密碼組合，但你的手機都不認得。只剩下幾次猜測正確密碼的次數就會觸發手機內容清除。當你花上整天試著想要解鎖手機時，有人已經清空了你的銀行帳戶。

Emmental 銀行交易犯罪行動 ,允許遠端攻擊者用簡訊即時發出指令，包括重設手機密碼

在2014年，趨勢科技發現了「Emmental 行動」，這是個利用惡意應用程式攔截簡訊以劫持使用者銀行交易的網路犯罪行動。最近，我們的研究人員發現上述行動所用的惡意應用程式也能夠讓遠端攻擊者用簡訊即時發出指令，包括重設手機密碼。此動作可以將使用者暫時鎖在設備主畫面外，這或許是種緩兵之計，好讓詐騙交易暗地進行。

假 OTP產生程式

跟之前用在Emmental行動的應用程式類似，最新版本偽裝成會生成一次性密碼（OTP）的銀行應用程式。我們所看到的最新樣本偽裝成來自奧地利的地方銀行：

圖1、假OTP產生程式截圖

實際上，「密碼」只是從一靜態列表中隨機選出。

一旦惡意軟體被啟用，它會靜靜地定期執行以下任務：

• 下載並解析設定檔案
• 檢查以確認預設C&C伺服器網址可用
• 透過Blowfish演算法建立受影響手機和遠端使用者間的通訊線路
• 送出儲存的簡訊

指定網址或電話號碼進行通訊而不經使用者同意或察覺

該惡意軟體會和指定網址或電話號碼進行通訊而不經使用者同意或察覺。根據攻擊者的喜好，惡意應用程式可以透過簡訊即時的發送訊息到目的地，或稍後經由網路連線完成。這些網址和號碼儲存在一個共享的設定檔案 – 「MainPref.xml」，可以在任何時間被設定。

圖2、MainPref.xml

下列前置有「USE_」名稱的網址可以在運行時使用：

圖3、解析和設置設定

除了截取簡訊，也能透過簡訊接受指令

除了截取送給使用者的訊息，這惡意軟體也能夠透過簡訊接受指令。它會攔截簡訊並檢查是否為控制指令。比方說，指令「LOCK」會重設使用者的螢幕鎖定密碼，攻擊者可以遠端即時的設定新密碼。設備管理API目前只支援用字母數字設成密碼。請記住，當應用程式將自己設成設備管理員時就應該感到懷疑。

一旦攻擊者變更密碼，受感染手機會呈現無法使用的狀態。攻擊者可以用「UNLOCK」來解鎖手機，並且隨時重新鎖住該使用者的手機。

攻擊者能夠鎖住使用者手機來佔據注意力，好讓他們可以對使用者的銀行帳戶下手或避免使用者與銀行間用手機聯繫。

圖4、新惡意軟體解析和設置設定的指令列表

攻擊者利用常見網站做為指令字串。「GOOGL」設定指標，送出訊息來攔截簡訊。「GOOGLE」刪除電話號碼並設定指標來停止攔截簡訊。「YAHOO」設定C&C網址並開始發送攔截的簡訊。

圖5、透過簡訊指令解析和設定來鎖住、解鎖裝置和變更密碼

因為遠端使用者可能取出行動設備內的字串，我們建議使用者也要備份自己手機內的檔案。使用者應該在所有設備內都具備安全防護，包括桌上型電腦或筆記型電腦，以及安全防護應用程式像是趨勢科技安全達人，它可以偵測這些惡意應用程式。

這次威脅的相關SHA1雜湊值和網址可以在此附錄中找到。

＠原文出處：Operation Emmental Revisited: Malicious Apps Lock Users Out作者：Richard Tai（行動威脅分析師）

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密

趨勢科技PC-cillin雲端版 ，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼