後門程式MobOk偽裝修圖工具潛伏Google Play

社交媒體盛行,現時很多人的手機上都安裝了修圖軟件「以防萬一」,網絡罪犯也瞄準了這一點,把惡意的後門程式 MobOk 偽裝成為修圖工具「Pink Camera」和「Pink Camera 2」,在 Google Play 上架,大約已有一萬名用戶中招。

修圖為名,開後門為實!
雖然現時 Pink Camera 和 Pink Camera 2 已經被下架,但根據 Kaspersky 統計已經有大約一萬次安裝,兩個應用程式只有簡單的圖像修改功能,實際上是高度危險的後門程式,讓攻擊者能接近完全控制被感染的裝置。

兩個應用程式都被設計為盜取用戶的個人資料,然後利用資料登記付費服務謀利。當用戶打開應用程式,會向用戶索取裝置的 Wi-Fi 控制和通知的存取權限,然後便開始在背後開始惡意行為。成功感染後,MobOk 會收集裝置裡的資料,當中包括電話號碼。

直接記帳電話費
當應用程式向用戶索取權限時,直至用戶按下「Yes」,否則無法繼續使用,而用戶開始修改圖片時,應用程式在背後其實正在收集裝置的資料,然後發送到 C&C 伺服器。下一個階段,MokOk 會關聞裝置的 Wi-Fi 而使用流動數據連線,攻擊者之後便會替受害者登記自己設立的網上收費的服務,而收費將會直接記帳到用戶的電話費,而不是經由信用卡或預付卡收費。

惡意程式會暗地裡打開登記服務的網頁,然後輸入較早前收集的電話號碼,當發送確定購買的 SMS 時,由於攻擊者取得完全控制權,所以也能夠檢查通知並輸入 SMS 上的確定碼,即使登記網頁受到 CAPTCHA 保護,應用程式也會使用圖像辨識服務網站分析,再自動填上結果,整個過程都不會驚動用戶。

Pink Camera 的修圖能力並不吸用,但它可以做到的惡意行為就不能忽視,它能替用戶登記在俄羅斯、英國和泰國的「吸錢」服務,監視 SMS 和使用網上 CAPTCHA 辨識服務,Kaspersky 的專家估計收費服務也是由黑客設立或有密切關係,而且設計迎合國際。

資料來源:Threat Post