我們發現了一個利用彈性的社交工程伎倆從各種使用者竊取金融帳號與密碼的全新 Android 威脅。相較於將自己偽裝成特定應用程式,Android.Fakelogin 採取的方法是找出裝置上執行的金融應用程式,然後以客製化的假冒登入頁面來覆蓋原本的使用者介面。它的做法是利用存取託管在遠端指令與控制 (C&C) 伺服器上的雲端式邏輯來決定要顯示的網路釣魚頁面。雖然該惡意程式鎖定的是 Google Play 上的合法應用程式,但下載 Fakelogin 的應用程式並不能在 Google Play 上取得。
該惡意程式也會利用隱匿技術及迴避的伎倆,讓它難以被發現或進行反向工程。這些特色在在都使得 Android.Fakelogin 成為行動裝置的可怕威脅。
Android.Fakelogin 是如何運作的?
Android.Fakelogin 目前鎖定的是說俄羅斯語的人,不過,這並不影響 Android 的最新更新版本,也就是 Marshmallow。該木馬程式會從影響 Android 裝置的下載工具惡意程式以酬載的形式產生。該惡意程式是以假冒應用程式的形式 (在本案例中則為遊戲) 出現,試圖在遭受入侵的裝置上下載和安裝其他的惡意程式。安裝完成後,該惡意程式就會假裝代替預設的簡訊應用程式,然後試著將自己登錄為該裝置的系統管理員。該威脅也會隱藏它的圖示,避免使用者輕易找到它或刪除它。
圖 1.Android.Fakelogin 試圖取得裝置系統管理員 (左) 權限,然後替代預設的簡訊應用程式 (右)
當該木馬程式取得這些權限後,它就能開始竊取資料,如下圖所示:
圖 2.Android.Fakelogin 會運用來自其指令與控制伺服器的雲端式邏輯,從遭到入侵的裝置上竊取登入憑證。
該木馬程式會先從它的 C&C 伺服器下載應用程式套件名稱清單,然後將它儲存在喜好設定檔中。這樣就能告訴該威脅可以利用內容溢注來鎖定哪些合法的金融應用程式。
圖 3.Android.Fakelogin 會將儲存在喜好設定檔內的已鎖定金融應用程式清單存放在裝置上。
接著該惡意程式會查詢目前在裝置上執行的應用程式名稱。如果該應用程式在清單中,該威脅就會將此應用程式的套件名稱傳送至其 C&C 伺服器。伺服器接著就會傳回模仿目標應用程式外觀的網路釣魚頁面。由雲端方式提供的彈性也代表著該惡意程式不需要在每次目標銀行改變其行動金融應用程式的外觀或形式時,就得更新一次。
接著,該惡意程式會利用 WebView 在正在執行的應用程式介面之上顯示此客製化的網路釣魚頁面。當使用者透過這個假冒的網頁登入時,他們的登入憑證就會直接傳送至攻擊者的 C&C 伺服器。
圖 4.這是 Android.Fakelogin 可顯示蓋過合法執行中應用程式的網路釣魚頁面範例
Android.Fakelogin 的網路釣魚戰術並不是它唯一先進的特色。一旦感染了裝置,該惡意程式就不需要靠使用者啟動,因此也讓該木馬程式難以被發現。拜其迴避伎倆以及它從遠端位置取得目標應用程式的方式所賜,我們也很難對該威脅進行反向工程。
進化的空間:雙重身分驗證 (2FA) 碼會成為下一個目標嗎?
這種網路釣魚方式使得 Android.Fakelogin 成為一種彈性且可擴充的威脅。它能讓攻擊者不斷地將更多的假冒金融網頁新增至其 C&C 伺服器,這樣要比利用假冒特定金融應用程式的全新惡意程式變種來感染裝置還容易得多。雖然該威脅目前的目標著重在金融應用程式,它也能下載新的套件清單,以鎖定其他的線上服務及社交網路等等。
此外,該惡意程式也可用來迴避雙重身分認證 (two-factor authentication,簡稱 2FA)。攻擊者可以透過他們常用的假冒頁面先取得金融登入憑證。然後再傳送另一個網路釣魚頁面至使用者的行動裝置或電子郵件來索取 2FA 碼,如此就能讓他們存取受保護的帳號了。
風險緩和策略
應用程式開發人員應在使用者登入後增加不同的身分驗證步驟,以保護他們的使用者避免這類威脅。例如,在使用者於金融應用程式中核准交易、或在社交網路應用程式中修改敏感的帳號資訊前,應跳出畫面請他們再一次驗證自己的身分。
我們建議採取以下措施來讓使用者保護他們的裝置,以避免此類威脅:
- 一旦適用於使用者裝置的 Android 6.0 Marshmallow 推出後,立即安裝此最新版本,因為它能夠封鎖 Android.Fakelogin 的功能。
- 採用全方位的安全解決方案,例如 Symantec Mobility 或 諾頓行動安全來防止行動威脅
- 讓您的軟體維持在最新狀態
- 只從信任的來源安裝應用程式
- 特別留意應用程式請求的權限
防護方法
賽門鐵克與諾頓產品偵測到的此種威脅名為 Android.Fakelogin。