新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時,就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容,甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。
不僅如此,XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 。它的惡意行徑包含: 發送簡訊、 啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。
Android 間諜程式與銀行木馬程式 XLoader 經由竄改 DNS 的手法散布
趨勢科技從三月初開始便偵測到一波新的網路攻擊,現在,這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器),進而散布及安裝惡意的 Android 應用程式,趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。
此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己,讓自己一直躲藏在裝置內。
圖 1:假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。 繼續閱讀
