• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:6394

2019年9月CERT-Bund研究人員發現TrickBot駭侵團體擁有知名銀行木馬，並使用中間人攻擊以取得用戶的手機號碼與設備類型等資訊。確認用戶使用Android作業系統後，此木馬便會冒充其銀行，誘使用戶下載並安裝以保護帳戶的假防毒軟體等安全應用程式，如偽冒Avast Security Control APP或Deutsche Bank Security Control APP。假冒的安全應用程式其目的在於獲取用戶的交易驗證碼，以登入用戶的網路銀行。

2020年3月IBM X-Force研究人員分析了由TrickBot傳播的惡意Android應用程式TrickMo。TrickBot駭侵團體使用其開發的惡意應用程式TrickMo，竊取用戶交易驗證碼（Transaction Authentication Number, TAN）後繞過銀行使用的雙因子驗證 (Two-Factor Authentication, 2FA)保護。TrickMo的目的是攔截銀行透過簡訊或推播通知發送給用戶的一次性密碼(One-Time Password, OTP)，並傳送回駭侵團體控制的C&C伺服器。TrickMo是竊取交易驗證碼最新的變種，可以被使用在任何地區的銀行。

當用戶安裝TrickMo至Android設備，該惡意應用程式會將自己設置為預設的簡訊應用程式，以此攔截設備上的任何簡訊，包含一次性密碼、mobile TAN (mTAN)等交易驗證碼。若銀行進行安全性升級，不使用基於簡訊發送的驗證方式而改用銀行應用程式藉由推播通知發送交易驗證碼的方式(pushTAN)，也能夠取得作為推播通知發送用來進行登入或是交易授權的OTP。TrickMo還包含竊取用戶設備資訊、攔截簡訊、記錄目標應用程式的一次性密碼、手機螢幕鎖定、竊取手機中圖片以及自毀和刪除機制等功能。

建議用戶自Google Play Store等官方商店下載APP，避免在其他網頁或非官方應用程式安裝。下載安裝APP之前仔細閱讀其所要求的任何授權，避免提供APP需求之外的額外功能，以防止機敏資訊遭洩漏。部分惡意APP會偽裝成知名品牌或企業的圖示，藉此取得用戶信任並下載，用戶在安裝任何APP之前需先確實檢查APP是否為官方而非假冒的應用程式。配合廠商對於行動裝置的漏洞修補，應定期更新作業系統版本以及軟體或應用程式版本，防止遭駭客藉由漏洞竊取個資或是植入惡意軟體而造成損失。