• 發布單位:TWCERT/CC
• 更新日期:2022-11-01
• 點閱次數:6099

資安廠商 Cyble 旗下的資安研究人員，日前發現一個名為「Drinik」的 Android 惡意軟體，現正發動大規模攻擊行動，鎖定 18 家印度主要銀行的用戶，意圖竊取其個資與銀行登入資訊。

Drinik 早在 2016 年就被發現針對印度手機用戶發動攻擊，當時最早是竊取手機簡訊內容，到了 2021 年 9 月時，該惡意軟體新增金融特洛依木馬的攻擊能力，目標鎖定 27 家印度金融機構的用戶，將用戶導向至釣魚網頁以竊取機敏資訊。

近日 Cyble 發現 Drinik 再度改版，這次的攻擊手法是偽裝成印度政府官方國稅局的稅務管理 App，引誘用戶下載後再設法竊取用戶的各種個資與金融服務登入資訊。

報告指出，Drinik 設法誘使用戶安裝一個叫做「iAssist」的 APK 檔案，該檔案宣稱是印度國稅局的稅務管理工具軟體，並會在安裝時向用戶要求多種權限，包括接收、讀取與發送簡訊、讀取用戶通話記錄、讀寫外部儲存媒體，以及最重要的輔助使用服務權限。

用戶一旦給予這些權限，Drinik 會立即關閉 Google Play Protect 的惡意軟體防護功能，並且開始竊聽或盜錄用戶的操作，例如私下進行螢幕截圖、記錄用戶按鍵輸入等等，接著載入真正的印度國稅局所得稅申報頁面，在用戶輸入登入資訊時，同時竊取用戶輸入的資料。

建議智慧型手機用戶應絕對避免在非官方管道自行安裝任何應用程式，同時不應試圖破解手機（即越獄），以免系統內建的防護機制失靈；應用程式如果要求過多不必要權限，也應提高警覺，應拒絕給予權限並立即刪除該應用程式。