按 Enter 到主內容區
:::

TWCERT-電子報

:::

新的 Android 金融惡意軟體 MailBot,偽裝成挖礦軟體大規模擴散中

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-06-22
  • 點閱次數:238
新的 Android 金融惡意軟體 MailBot,偽裝成挖礦軟體大規模擴散中 TWCERT/CC

資安廠商 F5 Labs 旗下的資安專家,近期發現一個新的 Android 金融惡意軟體 MailBot;資安專家指出,MailBot 會偽裝成加密貨幣挖礦軟體和 Chrome 瀏覽器,以多種管道誘騙用戶下載。

據 F5 Labs 的報告指出,MailBot 的控制伺服器位置設於俄羅斯,且其使用的 IP 位置與 2020 年 6 月起的多次惡意軟體散布攻擊活動有關。

目前觀察到的 MailBot 散布方式,以在各類與加密貨幣投資與應用相關的網站中「推廣」為主;用戶在這類網站上可以下載 APK 檔案並手動安裝;而這些惡意軟體外觀與可在 Google Play Store 下載的 TheCryptoApp 之類的應用軟體極為類似。

報告也指出,其中一種含有惡意程式碼的惡意軟體,透過一個名為 Mining X 的網站來散布;該網站宣稱用戶只要下載安裝該網站提供的挖礦程式,即可輕鬆透過手機挖掘加密貨幣。

該惡意軟體一旦安裝到 Android 裝置上,會先向用戶要求取得程式啟動器(launcher)權限,接著就會自己取得各種裝置與系統存取權限;目前 F5 Labs 指出 MailBot 可以擱截通知內容、簡訊與電話通話、擷取螢幕畫面、註冊開機啟動項目、透過 VNC 進行裝置遙控等等,甚至可以竊取 Google Authenticator 內產的的二階段驗證碼,並且自動填寫驗證碼。

目前 MailBot 主要感染義大利與西班牙的 Android 用戶,竊取其手機內部的機敏資訊,如金融服務登入資訊、加密貨幣錢包密碼等。資安專家指出,該惡意軟體很可能擴大其影響範圍。

建議 Android 手機用戶應避免自 Google Play Store 以外的地方下載安裝軟體,尤其切勿自行安裝 APK 檔案;遇到安裝時要求過多或過高權限的 App 時,也應拒絕給與權限並立即移除。

回頁首