簡訊網路釣魚 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。趨勢科技 發現有一波惡意攻擊利用”SMiShing簡訊釣魚”詐騙手法散播,一隻名為 FakeSpy(ANDROIDOS_FAKESPY.HRX)的 Android簡訊釣魚病毒,不但會竊取中毒手機的簡訊,帳號資料、聯絡人和通話記錄,還會置換手機內的銀行應用程式藉以竊取資料,另外也會檢查虛擬貨幣交易和電子商務應用程式。
受害者先收到一則偽裝成合法訊息的簡訊,比如一家物流公司誘使收件者點入簡訊內的惡意連結。目前該簡訊病毒,會偽裝成運輸、物流、快遞、電子商務、行動電信服務和服裝賣場或是消費金融服務公司的應用程式。
除了竊取資料外,FakeSpy 還會檢查手機內安裝的銀行相關應用程式。如果找到目標應用程式,就會置換成模仿合法應用程式介面的山寨版本。發出假警告通知,要使用者輸入帳號密碼來更新應用程式,以免資料外洩。除此之外,它還會檢查虛擬貨幣交易和電子商務應用程式。
雖然該惡意軟體目前的僅限於日語和韓語使用者,但是因為FakeSpy相當積極地發展各項功能,其他語系的使用者也該提高警覺。
攻擊鏈
如圖1所示,受害者先收到一則偽裝成合法訊息的簡訊,一家日本物流公司敦促收件者點入簡訊內的連結。這連結會導向惡意網頁,點下任何按鈕都會提示使用者下載一個APK檔。這網頁還提供了用日文寫的指南來介紹如何下載和安裝該應用程式。
圖1:包含惡意軟體連結的簡訊樣本
進一步分析顯示這波攻擊的目標也包含韓國使用者,而且從2017年10月起就開始出現。對於韓國使用者,資料竊取病毒會偽裝成當地消費金融服務公司的應用程式。針對日本使用者則會偽裝成運輸、物流、快遞、電子商務、行動電信服務和服裝賣場的應用程式。
圖2:提供下載和安裝應用程式指南的惡意網頁
圖3:韓文(左)和日文(中,右)惡意應用程式的截圖
技術分析
FakeSpy會加密設定檔(如命令與控制(C&C)伺服器)以躲避偵測。一旦啟動,FakeSpy會監控中毒手機收到的簡訊。再將這些簡訊上傳到C&C伺服器。FakeSpy還會利用JavaScript bridge(JavaScriptInterface)好能夠使用JavaScript發送命令,從遠端網站下載並執行JavaScript來調用應用程式的內部功能。FakeSpy的命令包括加聯絡人到手機、設成靜音、重置手機、竊取儲存的簡訊和設備資訊,還有更新自己的設定。
圖4:FakeSpy加密過的設定
圖5:FakeSpy將簡訊上傳到C&C伺服器
圖6:FakeSpy用JavaScriptInterface發送命令
圖7:攻擊者發送命令來更新FakeSpy設定
FakeSpy用來派送銀行木馬
除了竊取資料外,FakeSpy還會檢查手機內安裝的銀行相關應用程式。如果找到FakeSpy的目標應用程式,就會置換成模仿合法應用程式介面的仿冒/重新包裝版本。很諷刺地,它的釣魚手法是通知使用者必須輸入帳號密碼來更新應用程式以解決資料外洩的問題。它還警告使用者帳號會被鎖住。一旦使用者點擊登入鍵,被竊資訊就會送到C&C伺服器。除了網路銀行應用程式外,它還會檢查虛擬貨幣交易和電子商務應用程式。
圖8:顯示FakeSpy檢查銀行相關應用程式並用假版本替換的程式碼
圖9:惡意應用程式用來騙取使用者帳號密碼的介面
圖10:顯示惡意應用程式竊取銀行憑證的程式碼
躲避偵測
FakeSpy的作者使用了不一樣的方法來隱藏和更新C&C伺服器。它利用了社群媒體,將IP地址寫在Twitter上的個人檔案而且會定期修改。IP地址以^^開頭並以$$結尾。當FakeSpy啟動時,它會連到Twitter頁面來解析內容以取得C&C IP地址。FakeSpy的作者也用類似方式利用論壇和開放原始碼的動態網域工具。為了進一步躲避偵測,應用程式內設定的C&C伺服器地址至少每天更新一次。同樣值得注意的是,FakeSpy背後的駭客集團還是相當活躍,至少從他們在論壇上的活動及註冊來放惡意軟體的網址看來是如此。
圖11:FakeSpy取得C&C IP地址的Twitter頁面
圖12:FakeSpy使用論壇(上)和動態網域工具(下)來隱藏C&C伺服器
最佳實作
SMiShing並不是全新的攻擊手法,但利用社交工程(social engineering)手法可以讓它誘騙或迫使受害者給出個人或公司資料,或是被導到惡意網站。使用者應該要養成良好的網路安全習慣:點擊之前先三思,只從官方應用程式商店下載,定期更新密碼及作業系統和應用程式。檢查是否有網路釣魚(Phishing)跡象,如語法錯誤或用來偽裝成合法網址的特定字元。更重要的是要小心不請自來的訊息,尤其是帶有不必要緊急感的訊息。
我們已經和受影響的組織溝通此一威脅。此附錄內列出了與FakeSpy相關的入侵指標(IoCs)。
趨勢科技解決方案
趨勢科技行動安全防護可以封鎖此惡意應用程式。還提供了多層次的防護功能給個人和企業,保護手機上的資料和隱私,對抗勒索病毒、詐騙網站和身份竊盜。
企業可以使用趨勢科技的行動安全防護Mobile Security,提供設備、合規和應用程式管理,資料保護和設定配置,並且保護設備對抗漏洞攻擊,防止未經授權存取,以及偵測和封鎖惡意軟體及詐騙網站。
趨勢科技的行動應用程式信譽評比服務(MARS)使用業界領先的沙箱和機器學習技術來涵蓋Android和iOS威脅。能夠保護使用者解決惡意軟體、零時差攻擊和已知漏洞攻擊、隱私外洩及應用程式漏洞等問題。
@原文出處:FakeSpy Android Information-Stealing Malware Targets Japanese and Korean-Speaking Users 作者:Ecular Xu(行動威脅反應工程師)
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。