• 發布單位:TWCERT/CC
• 更新日期:2022-12-15
• 點閱次數:6484

資安廠商 ThreatFabric 日前發表資安研究報告，指出該公司發現一個暗網上的平台 Zombinder，可讓駭侵者將惡意程式碼植入正版的 Android 應用程式中，再誘騙用戶安裝，以散布惡意軟體。

該公司是在追蹤近期一些散布惡意 Windows 與 Android 惡意軟體的攻擊活動中，發現了這個位在暗網內的惡意軟體平台。

ThreatFabric 發現的 Zombinder，是個可以將惡意程式碼包裝成 APK 檔，附加在原始正版的各種 Android 應用軟體內。該平台在 2022 年 3 月開始活動，近來愈來愈受駭侵社群界的歡迎，使用率愈來愈高。

ThreatFabric 指出，目前觀察到遭到植入的 Android 正版軟體，包括一個足球比賽實況串流 App、以及遭到竄改的 Instagram App。

ThreatFabric 說，這些遭到植入惡意程式碼的 App，由於真正的程式碼並未遭到刪改，因此運作起來就和正版 App 一樣正常，但由 Zombinder 植入了惡意程式碼的載入器；這段載入器程式碼會設法逃過防毒防駭軟體偵測，並在開啟後顯示個要求使用者同意載入外掛程式的畫面；用戶一旦不察而同意，即會載入惡意程式碼並於背景執行。

ThreatFabric 指出，目前發現的案例，都是植入 Ermac 惡意軟體，用於竊取用戶鍵盤輸入、發動覆疊畫面攻擊、竊取 Gmail 中的郵件、攔截二階段驗證代碼、竊取用戶加密貨幣錢包的復原短語等。

建議 Android 裝置用戶應避免下載安裝任何非來自官方 Google Play Store 的應用程式，特別是以檔案型式下載安裝的 APK 最為危險。