• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:427

1.Android用戶請小心，趨勢科技近期偵測到一波新網路攻擊，Android惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定（DNS）進行散播，推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式，並喬裝成Facebook或Chrome等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料。

趨勢科技指出，自3月初以來偵測到一波新網路攻擊，Android惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定（DNS）進行散播，推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式，並喬裝成Facebook或Chrome等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料，目前它們針對台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。
根據趨勢科技指出，XLoader既是間諜程式，也是銀行木馬程式，一旦受害者裝置遭到感染之後，XLoader除了可以掌握到所有應用程式的相關資訊、推播訊息，還能偷看簡訊、暗中錄下語音通話。更令人擔心的是，其會建立一個臨時的網站伺服器以進行網路釣魚來騙取受害者的個人資料，為使受害者不易察覺，這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言，包含中文、日文、韓文、英文等。
趨勢科技提醒一般消費者，XLoader會利用系統管理權限來隱藏自己，並在暗中執行惡意指令，因此受害者幾乎不易察覺，呼籲使用者應養成正確的資安習慣，例如設定高強度密碼、定期更新及修補路由器韌體、啟用路由器內建防火牆、定期檢查路由器設定等方式來防範家用或企業路由器漏洞的威脅。也建議系統管理員和資安人員應妥善設定路由器組態來防範DNS快取汙染這類的攻擊。

參考連結：

https://blog.trendmicro.com/trendlabs-security-intelligence/xloader-android-spyware-and-banking-trojan-distributed-via-dns-spoofing/
http://www.chinatimes.com/realtimenews/20180426000008-260412
https://newtalk.tw/news/view/2018-04-26/122304
https://money.udn.com/money/story/5612/3108637