• 發布單位:TWCERT/CC
• 更新日期:2022-02-10
• 點閱次數:3257

一個名為 Medusa 的 Android 金融特洛伊木馬，目前正在全球各地大幅感染 Android 行動裝置用戶；該惡意軟體會竊取用戶手機中的金融服務登入資訊，並用於金融詐騙攻擊，用戶應提高警覺。

Medusa （又稱 TangleBot）木馬並不是最近才發現的新惡意軟體，過去就曾在北美洲與歐洲肆虐；不過資安廠商 ThreatFabric 旗下的資安研究人員，在一份最近推出的研究報告中，詳細描述了新版 Medusa 的運作方式。

研究人員在報告中指出，這次 Medusa 仍然和之前一樣，使用相同的 FluBot 惡意軟體發送平台，來執行其簡訊釣魚攻擊活動。

報告也指出，Medusa 是利用 Android 系統中的「輔助使用」指令引擎來進行各種攻擊活動，包括在手機上執行特定操作或手勢、擅自擷取螢幕畫面、自行開啟通知、鎖定畫面、點按畫面上的元件等。

ThreatFabric 在報告中指出，Medusa 能夠以極高的效率，記錄用戶在手機上的鍵盤輸入、進行影音即時盜錄、也能遠端遙控手機，因此能用以竊取用戶手機中的各種金融服務登入資訊。

Medusa 主要是夾帶在遭到仿冒的熱門應用程式，例如 DHL、Purolator、Android Update、Flash Player、Amazon Locker 與各種影音播放程式等；用戶如果不在官方應用程式商店取得這些軟體，而是自不明來源自行下載安裝 APK 檔，就很容易成為這類惡意軟體的受害者。