• 發布單位:TWCERT/CC
• 更新日期:2023-02-04
• 點閱次數:199

資安廠商 Cyble 旗下的資安研究人員，近來發表研究報告指出，該公司發現在俄羅斯駭侵相關論壇中，有一組名為「InTheBox」的駭侵團體，在論壇上出售一批多達 1,894 種網頁注入型手機惡意畫面覆疊模組；這些惡意畫面覆疊專門用於在 Android 手機上假冒各式服務官方網站，用以竊取用戶各類機敏資訊。

報告指出，這些假冒官網的覆疊畫面，主要用以竊取用戶在各大銀行、加密貨幣交易所或電子商務網站輸入的機敏資訊為主。

這批為數龐大的假冒網站惡意畫面覆疊和多種惡意軟體相容，包括有 814 種相容於 Alien、Ermac、Octopus、MetaDroid 惡意軟體（要價 6,512 美元）、495 種相容於 Cerberus 惡意軟體（要價 3,960 美元）、585 種相容於 Hydra 惡意軟體（要價 4,680 美元）。該駭侵者也提供單一網頁注入覆疊畫面銷售，一個要價 30 美元。

據 Cyble 的分析報告指出，InTheBox 的惡意畫面覆疊模組包含一個 App 用 PNG 圖檔，以及內含可竊取用戶機敏資訊 JavaScript 指令的 HTML 檔案。在大多數情形下，這些覆疊模組會蓋掉正牌官網的登入或資料輸入畫面，並且竊取用戶輸入的資訊；該段 JavaScript 甚至能夠驗證用戶輸入的信用卡資訊是否有效。

Cyble 也指出，InTheBox 販售這類惡意覆疊畫面已有相當長的時間，這些惡意畫面也曾用於多次攻擊行動，最近一次是在 2023 年 1 月針對西班牙的銀行。

鑑於 Android 系統上這類假冒官網畫面覆疊的攻擊十分頻繁，建議 Android 用戶在點按任何連結或安裝應用程式時，都應特別提高警覺，檢查連結的正確性，並且避免下載來路不明或評價偏低的 App。