吳明宜駭客使用名為版本更新 (versioning) 的手法躲避 Google Play Store 的偵測機制,以攻擊 Android 用戶。
Google 網路安全行為小組在一項報告指出,最近發現使用版本更新手法的攻擊,竊取用戶密碼、個資及財務資料等重要資訊。
版本更新雖不是新手法,但很狡猾,且難以偵測。一開始,惡意程式作者上傳正常的初版 App,通過 Google Play Store 的審查機制,但之後更新的版本則加入了惡意元件。更新元件是從攻擊者控制的伺服器上傳,以便利用名為動態程式碼載入 (dynamic code loading, DCL) 的方法推送到用戶手機上,等於將 App 變成了後門。
使用版本更新手法的惡意程式例子可不少。今年 5 月,安全廠商 ESET 發現一款螢幕錄製程式 iRecorder – Screen Recorder,在上傳 Google Play Store 清白運作了將近一年後,開始變惡意程式,偷偷監看及竊取用戶資訊。另一個例子是金融木馬程式 SharkBot,它多次冒充安全及公用程式上傳到 Play Store 上,以下載到用戶手機上,再暗中利用 (Automated Transfer Service ATS) 協定執行非法轉帳。
另一個做法是,攻擊者挑選安全檢查不足的軟體市集上傳帶有 dropper 的 App 。這麼做可以避過安全檢查。一旦用戶安裝後,再下載完整版惡意程式。
還有的駭客在同一平台上建立多個開發商帳號,由一個執行惡意行動,其他作為備用,以便第一個帳號被封時接手。這種手法使犯罪活動難以偵測,而且可省去重新上傳 dropper 的時間,利用執行長期攻擊活動。
ThreatFabric 研究人員說,為了防止版本更新手法,企業要部署縱深防禦的安全機制,只允許從受信賴的軟體平台,如 Google Play 安裝程式,或以行動裝裝置管理 (MDM) 平台規範企業裝置。一般用戶也最好只從正派的軟體平台下載 App 。