Android惡意軟體攻擊金融行動APP，虛擬化技術成新威脅

資安研究機構Zimperium最新發現，知名Android惡意軟體「Godfather」已演進至全新版本，採用先進的設備虛擬化技術來劫持合法的銀行應用程式。這項創新技術能夠在受感染的行動設備上創造出完全隔離的虛擬環境，使惡意軟體得以在受害者毫不知情的情況下，進行實時監控、竊取憑證並操控金融交易。

與過去依賴HTML覆蓋螢幕的傳統手法截然不同，新版Godfather在受感染設備上建立了完整的虛擬文件系統，並搭配虛擬Process ID、Intent欺騙技術以及StubActivity機制。最令人擔憂的是，受害者在整個過程中看到的完全是真實應用程式的介面，但所有敏感操作實際上都在惡意軟體的嚴密監控之下進行。

攻擊機制揭密

根據Zimperium的分析報告，這種虛擬化攻擊的運作流程相當複雜且精密。當惡意軟體成功安裝到目標設備後，首先會檢測設備上已安裝的銀行或加密貨幣應用程式，一旦發現預設的目標應用程式，便會將其置入自建的虛擬環境中。

關鍵的欺騙技術是「StubActivity」機制。這是一種在執行虛擬化引擎的惡意軟體中宣告的佔位活動，是啟動和運行虛擬化應用程式的殼層或代理。當受害者嘗試啟動真正的銀行應用程式時，Godfather的無障礙服務權限會攔截這個意圖，並將其重新導向到虛擬版本的銀行應用程式。

透過Xposed框架進行API掛鉤，Godfather能夠記錄所有帳戶憑證、密碼和PIN碼，同時捕獲使用者的觸控事件以及來自銀行後端的回應。惡意軟體會在關鍵時刻顯示偽造的鎖定螢幕覆蓋層，誘騙受害者輸入他們的PIN碼或密碼。一旦收集並外洩所有資料後，惡意軟體便等待操作者的指令來解鎖設備、執行UI導航、開啟應用程式，並在真實銀行應用程式內觸發付款或轉帳操作。

「惡意軟體即服務」平台

就在Godfather展現其虛擬化技術的同時，資安研究人員也發現了另一款名為AntiDot的Android惡意軟體正在快速擴散。這款惡意軟體已發展成完整的「惡意軟體即服務」平台，由代號LARVA-398的金融動機威脅行為者操作，目前已感染超過3,775台設備，涉及273個獨特的攻擊活動。

PRODAFT的研究報告指出，AntiDot被宣傳為「三合一」解決方案，具備透過濫用Android無障礙服務來錄製設備螢幕、攔截SMS訊息，以及從第三方應用程式提取敏感資料的能力。該惡意軟體疑似透過惡意廣告網路或高度客製化的網路釣魚活動進行傳播，顯示出對受害者基於語言和地理位置的選擇性鎖定。

AntiDot能夠監控設備狀態列中顯示的即時通知，並採取措施來解除或暫停這些通知，試圖壓制警報並避免提醒使用者注意可疑活動。這種技術展現了現代惡意軟體在規避偵測方面的高度智慧化。

NFC中繼攻擊新威脅

與此同時，俄羅斯也首次記錄到SuperCard X惡意軟體的攻擊嘗試。這款新興的Android惡意軟體能夠進行近距離無線通訊中繼攻擊，專門用於執行欺詐性交易。根據俄羅斯網路安全公司F6的分析，SuperCard X是合法工具NFCGate的惡意修改版本，能夠捕獲或修改NFC流量。

該惡意軟體的最終目標不僅是接收來自受害者的NFC流量，還要透過向EMV晶片發送指令來讀取銀行卡片資料。這種攻擊手法最初在今年稍早被發現針對義大利的Android使用者，攻擊者利用NFC技術將受害者實體卡片的資料中繼到攻擊者控制的設備上，然後用於進行欺詐性ATM提款或授權銷售點付款。

防護策略與建議

面對這些不斷演進的威脅，網路安全專家強調，傳統的反應式修補已不足以應對現代惡意軟體的複雜性。Zimperium的安全研究員Ziv Zeira表示，防止權限升級並保護Android生態系統免受惡意或過度特權應用程式的攻擊，需要的不僅僅是使用者意識或反應式修補，而是需要主動、可擴展且智慧的防禦機制。

對於一般使用者而言，最基本的防護措施包括僅從Google Play商店或可信任的發布商下載應用程式，確保Play Protect保護功能保持啟用狀態，並仔細檢查應用程式要求的權限。特別是對於金融相關的應用程式，使用者應該保持額外的警覺，避免側載來源不明的APK檔案。

企業層面的防護則需要更加全面的策略。組織應該實施主動式、可擴展的智慧防禦機制，建立針對權限升級的監控系統，並加強員工對行動威脅的認知訓練。同時，定期檢查設備上的無障礙服務權限設定也是重要的安全實務。

儘管Google表示從Android 13開始已經強化保護措施，防止側載應用程式啟用無障礙服務，但攻擊者仍然能夠透過基於會話的安裝方式來繞過這些防護措施。這種持續的攻防競賽突顯了建立更強韌的行動安全防護體系的迫切需要。