在 7 月初,研究人員發現到一款知名的手機銀行木馬程式 Svpeng 的改版,犯罪份子為木馬程式加入新功能,透過無障礙的服務,現在已經成為 keylogger,可以盜取一切輸入的資料。Svpeng 早在 2013 年出現,初期只攻擊 SMS 理財,利用釣魚網站入侵手機,盜取權限和鎖上裝置勒索金錢,2016 年曾經利用 Chrome 瀏覽器的漏洞,透過 AdSense 散播病毒,因為幕後的犯罪份子十分活躍,所以成為研究人員密切監視新版本的對象。
加大強限阻止移除
無障礙服務通常提供強化的界面方便殘障人士,或者暫時無法與裝置完全互動的用戶,Svpeng木馬則利用這種系統功能,使程式不但盜取從其他應用程式輸入的文字,同時也加強自己的權限,阻止用戶移除木馬應用程式。木馬程式活躍於俄羅斯、德國和土耳其地區,但是程式不會在使用俄文的裝置上運作,此舉是俄羅斯網絡犯罪份子為避免在當地被偵查和拘捕的一貫做法。
Svpeng攻擊流程
當觸發木馬程式之後,首先會檢查裝置的語言,如果不是俄語,便會開始向裝置要求使用無障礙服務,因為只要取得此權限,它便能夠進行多種有害的活動,不但使自己具有管理員權限、使自己覆蓋其他應用程式、安裝其成為預設的 SMS 應用程式,以及取得一些動態權限,例如收發 SMS 、打電話和讀取聯絡人資料。此外,透過取得新權限 Svpeng 能夠阻止用戶移除它的管理員權限,藉此防止自己被移除。
使用無障礙服務令木馬程式能夠存取其他應用程式的界面,然後盜取他們的資料,例如界面內所有元素的名字和內容,這包括用戶輸入的所有文字,更甚者,每當用戶在鍵盤上按鍵,木馬程式都會撮取畫面一次,然後上存至背後的 C&C 伺服器,而且不限於 Android 標準的鍵盤,還包括第三方的鍵盤。即使部份銀行應用程式在啟動時不能撮取畫面,但是木馬程式則採用另一種方法,利用假的釣魚視窗覆蓋該應用程式,原來如果知道哪個應用程式在最上層,需要使用無障礙服務。
研究人員從黑客的 C&C 伺服器中攔截了加密的設定檔,經過解密之後找到受攻擊的應用程式和釣魚網站的網址,除了銀行應用程式之後,Svpeng 還會覆蓋部份 Google 應用程式以盜取信用卡資料。設定檔內含有專為 PayPal 和 eBay 應用程式而設的釣魚網址,用來盜取用戶的登入資料,另外還有專為不同國家的銀行應用程式而設的釣魚網址,以下是不同國家受攻擊的銀行應用程式數量:
英國:14、德國:10、土耳其:9、澳洲:9、法國:8、波蘭:7、新加坡:6
此外,還有另一個受攻擊的應用程式在設定檔內,它並非銀行應用程式,而是積分應用程式Speedy Rewards,Svpeng 會透過釣魚視窗盜取用戶的登入資料。在接收到 C&C 侵服器的指令後,它可以傳送 SMS 短訊、收集聯絡人和通話記錄、收集裝置內所有 SMS 短訊、打開網址和開始盜取收到的 SMS。
偽裝 Flash Player 誘騙安裝
Svpeng 透過惡意網站上偽裝成 Flash Player 誘騙用戶點擊然後下載,即使已經更新的 Android 裝置和安裝防毒軟件,仍能透過取得系統的無障礙服務權限而自由活動,再進一步取得其他權限及盜取更多資料。
