• 發布單位:TWCERT/CC
• 更新日期:2023-09-28
• 點閱次數:106

資安廠商 ThreatFabric 旗下的資安研究人員，近期發現一個稱為 Xenomorph 的 Android 惡意軟體，近來再次大舉針對世界各國多家銀行與加密貨幣錢包發動攻擊。

ThreatFabric 的研究人員，自 2022 年 2 月開始追蹤 Xenomorph 的駭侵活動，當時發現該惡意軟體透過 Google Play Store 中上架的 App 進行散布，下載次數多達 50 萬次以上，攻擊對象則為歐洲各國的 56 家銀行。

該惡意軟體的始作俑者 Hodoken Security 持續不斷進行 Xenomorph 的改版，自 2022 年 6 月後 Xenomorph 進行重構，讓 Xenomorph 具備模組化功能，變得更具有彈性；而在 2023 年 3 月，Hadoken 再次對 Xenomorph 進行改版，在該惡意軟體中加入自動轉帳系統、跳過多階段登入驗證、cookie 竊取等功能，且有能力攻擊超過 400 家銀行。

ThreatFabric 指出，在最新一波的攻擊行動中， Xenomorph 利用假冒的 Android 內建瀏覽器 Chrome 的升級通知，誘騙使用者下載安裝植入了 Xenomorph 的 APK 檔案，接著 Xenomorph 便可在使用者瀏覽金融機構或加密貨幣錢包頁面時，使用畫面覆疊來竊取使用者輸入的登入資訊。

ThreatFabric 也指出，過去 Xenomorph 以攻擊歐洲的金融機構為主，而在這波攻擊中，美國的金融機構也納入其攻擊範圍內，成為該惡意軟體最主要的受害地區。其他受害地區還包括西班牙、加拿大、義大利、葡萄牙、比利時等。

建議 Android 使用者避免在官方 App Store 之外場合安裝來路不明的 APK 檔案，也應對要求過多使用權限的 App 提高警覺。