https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=b5f1e8fb36cd7fbeb7988e8639ac79e9.3134&nosocial=1

新聞

BrazKing 特洛依木馬捲土重來,以新技巧繞過資安偵側並降低受害者戒心

2021 / 11 / 24
編輯部
BrazKing 特洛依木馬捲土重來,以新技巧繞過資安偵側並降低受害者戒心
IBM 旗下的資安專家,近日發現一個名為 BrazKing 的 Android 特洛伊木馬惡意軟體,最近捲土重來,大規模感染巴西的 Android 手機金融服務使用者,竊取其金融相關資訊。

值得注意的是,為了規避愈來愈嚴格的作業系統資安防護功能,以及 Play Store 的惡意軟體防堵機制,這個 BrazKing 惡意軟體,採用了一些前所未見的全新技巧,來規避各種偵測與防堵。

IBM 指出,BrazKing 以發送釣魚簡訊的方式,把受害者導向到一個 https 網站,看起來就比較安全;而這個 https 網站的內容,是假冒 Google 的安全功能,指稱用戶的手機使用老舊的 Android 版本,存有嚴重安全漏洞,必須下載一個 APK 檔加以修補。BrazKing 就是用這種方法,不在 Google Play Store 上架,以規避應用程式商店中的惡意程式碼掃瞄機制。

當用戶下載了假冒為資安修補軟體的惡意程式後,BrazKing 接著又會假冒 Google 的系統通知,要求用戶開啟輔助使用權限;和一般會要求許多權限(例如讀取簡訊內容、螢幕擷取等)的其他「傳統」惡意軟體來看,BrazKing 只要求一項權限,看起來也顯得比較安全。

但透過這項輔助使用權限的開啟,BrazKing 仍可做到許多資料竊取功能,例如它會「拆解」用戶螢幕上顯示的資訊,送到控制伺服器中判斷畫面內容與用途,而不需實際擷取畫面;此外 BrazKing 也能記錄用戶鍵盤輸入、竊取用戶在各金融網站或 App 的登入資訊、讀取簡訊內容,以便攔截二階段登入驗證碼等等。

本文轉載自TWCERT/CC。