• 發布單位:TWCERT/CC
• 更新日期:2020-02-10
• 點閱次數:1504

資安廠商指出一支 Android 惡意木馬軟體，能切斷 Google Play 的保護措施，並且偽造用戶正面評價。

資安廠商卡巴斯基發表研究報告，指出一支名為 Trojan-Dropper.AndroidOS.Shopper.a 的惡意木馬軟體，不但能夠阻斷 Google Play 應用程式商店的保護機制，偽造虛假的用戶評價，在用戶手機不幸感染後，還會偽裝成系統管理工具、在背景安裝其他惡意軟體、竊取用戶手機中的各項資訊，甚至進行廣告詐騙點擊等。

這支惡意軟體在手機中會以某個系統圖示顯示，名稱也會顯示為 ConfigAPKs，非常類似一支用來進行開機後 App 設定的系統程式。

用戶的 Android 手機一旦感染這支惡意程式，該程式會先下載並解密其酬載程式碼，接著就會立即開始竊取手機中的各項資訊，包括手機所在國名、行動網路、手機廠牌型號、Email 地址、IMEI 和 IMSI 編號等，並上傳到攻擊者擁有的伺服器中；接著伺服器會發送一系列攻擊用的指令給手機中的惡意軟體。

這支惡意軟體接下來會開始到 Google Play 軟體商店中，針對多個同為惡意軟體的 App 發送評價和虛假用戶評論，企圖拉抬這些惡意 App 的能見度，甚至還會跳過使用者，自行下載更多惡意軟體到手機中。

這支惡意軟體也會同時關閉 Google Play 用以偵測並保護手機免於安裝惡意軟體的服務，同時透過 Android 系統中的輔助使用功能，跳過許多用戶權限許可關卡，因此才能橫行無阻。

卡巴斯基指出，這支 App 在俄羅斯為害最廣，去年十月到十一月間，有近三成（28.46%）的 Android 手機感染此惡意軟體；而在巴西和印度也有 18.7% 和 14.23% 的感染率。