• 發布單位:TWCERT/CC
• 更新日期:2022-11-30
• 點閱次數:6376

資安廠商 ESET 日前發表研究報告，指出該公司的資安研究專家，近期發現有駭侵者長期利用植入惡意軟體的 SoftVPN 和 OpenVPN 等兩種 Android VPN app，來散布含有惡意程式碼的假軟體，自受害者的行動裝置中竊取各種機敏資訊。

據 ESET 報告指出，涉嫌散布間諜 VPN 軟體的是一個被稱為「Bahamut」的進階駭侵團體，據稱該團體提供「租用」服務，讓想發動攻擊的人出錢來進行攻擊。

報告說，Bahamut 針對市面上正常版本的 Android 版 SoftVPN 和 OpenVPN app 進行重新包裝，植入惡意軟體後，利用幾可亂真的網站來散布 APK 檔；用戶如果不查，自這些假網站下載安裝 APK 檔，即會遭到惡意軟體感染。

報告指出，目前發現的這類惡意 App 均未在 Google Play Store 上架。

該報告說，用戶一旦不慎安裝這兩個假冒的 VPN App，其中的間諜程式碼會竊取受害者手機中的多種機敏資訊，包括通訊錄、通話記錄、詳細所在地點座標、簡訊對話內容，並監控用戶透過如 Signal、Viber、WhatsApp、Telegram、Facebook Messenger 等即時通訊軟體的訊息內容，以及手機內的各種檔案。

ESET 也觀察到共有 8 種不同 Bahamut 假冒 VPN 的版本，顯示該惡意軟體的開發工作十分積極，不斷推出新版本。

據 ESET 指出，Bahamut 這波攻擊活動可能屬於目標鎖定式攻擊行動，雖然初始的攻擊方式仍有待調查，但通常會利用釣魚 Email、釣魚簡訊、社群平台或即時通訊來進行，誘使目標下載惡意軟體。

建議 Android 手機用戶應絕對避免自非官方管道（如不明網頁、社群平台連結、Email 連結）等安裝任何 APK 檔案，以避免安裝類似惡意軟體，並遭到駭侵攻擊。