趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。
一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料
繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。
手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增。
根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。
趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:
圖1、山寨版軟體要求權限
在安裝過程中,山寨版瑪利歐要求以設備管理員權限啟動:
圖2、山寨版軟體要求設備管理員權限
成功安裝後,它會從設備收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。設備管理員權限讓它可以隱藏自己的圖示,這也讓移除變得更加困難。
跳出假視窗要求使用者輸入信用卡資訊,若不輸入則無法關閉該視窗
這程式的真正目的是竊取信用卡資料。安裝此應用程式後啟動Google Play會跳出一個假視窗要求使用者輸入信用卡資訊。即便使用者想點背景的灰色區域也無法關閉跳出的視窗;使用者只能在欄位填上信用卡資訊才能使用Google Play。
圖3、打開Google Play時跳出視窗
如果輸入無效的號碼,會出現信用卡號碼不正確的錯誤訊息。
這應用程式會進一步檢查輸入卡號是否有效。前六位數代表發卡組織(即Visa、Mastercard等),應用程式會顯示對應的發卡組織標誌。它還會用Luhn演算法來檢查號碼是否有效。如果輸入無效的號碼,會出現信用卡號碼不正確的錯誤訊息。
圖4、信用卡號碼驗證
如果輸入了有效卡號,應用程式會出現另一個欄位來要求輸入持卡人姓名,卡片到期日期和安全碼。
圖5、請求額外的卡片資訊
填寫生日,地址和電話號碼後,終於可跳脫對話框,但攻擊者還可以遠端重設裝置密碼
當使用者填完這些資料,它會要求更多的資訊,這次跟使用者有關:使用者生日,地址和電話號碼。輸入所有的資料後,使用者終於可以使用Google Play。
圖6、要求更多使用者資料
該應用程式還可以透過命令與控制(C&C)伺服器發出的命令,讓遠端攻擊者重設裝置密碼,使得用戶無法操作自己的設備,駭客可遠端接收從使用者竊取的信用卡資料。
建議:只從合法應用程式商店下載和安裝應用程式
網路犯罪分子經常會利用熱門的遊戲來散佈惡意應用程式。每當應用程式要求設備管理員權限時,就應該提高警覺。通常惡意應用程式都是透過第三方應用程式商店來散播。有些使用者可能會用這些商店來下載「尚未發行」的應用程式,或免費取得應用程式。趨勢科技強烈建議使用者只從合法應用程式商店(如Google Play或受信任的第三方應用程式商店)下載和安裝應用程式。
在其他案例中,攻擊者甚至可能提供類似Google Play的假商店。而社群媒體上看似來自好友的訊息也可能帶來惡意應用程式。關閉「允許從未知來源安裝應用程式」設定可以防止在無意間經由這些管道下載的應用程式被安裝。
趨勢科技解決方案
使用者應該只從Google Play或受信任的第三方應用程式商店安裝軟體,並且使用行動安全解決方案(如趨勢科技的行動安全防護)封鎖來自應用程式商店的威脅。
企業用戶應該考慮像趨勢科技行動安全防護企業版這樣的解決方案。它包含了設備管理、資料防護、應用程式管理、合規性管理、設定配置等等功能,讓企業可以將隱私和安全性與自帶裝置(BYOD)所帶來靈活性和生產力間做出平衡。
@原文出處:Fake Super Mario Run App Steals Credit Card Information