網上交易的市集一直是騙徒潛伏的地方,近日研究人員發現他們企圖向小企業個私人買家埋手,以批發價出售貨物,並提供安裝Android應用程式去追蹤包裹,但該程式其實是用來盜竊銀行登入憑證、推送通知和其他財務資料的木馬程式。
批發價出售的陷阱
攻擊者在多個網站上,聲稱以相當吸引的價錢出售不同的產品,要進行購買,受害者會被要求加入私人的Telegram通訊軟件對話,並在那裡提供送貨的地址,實際上是受害者需要向該經理發送一條私人訊息,為了令該頻道看起來更具說服力,參加者需要回答問題、取得答案和進行評價,很可能還有相同計劃的其他受害者或聊天機器人在內,令頻道的交易看似相當活躍。
騙徒在騙局內無需支付任何預繳,令事性更加可信,受害者對於無需冒任何風險便能下單購物可能相當滿意,更會收到貨品已經送出的訊息,進行追蹤則需要使用特別的應用程式,並提供一個.apk檔案的連結及追蹤號碼,訊息還額外強調在收貨後付款,買家需要輸入追蹤號碼,然後等待讀取資料(可能需時超過30分鐘)。事實上連結的目的地是一個惡意網站,用來下載追蹤包裹的工具,其實面目卻是Android上的Mamont銀行惡意程式,安裝後這件「工具」便會要求取得在背後運作的授權,還有推送通知、SMS和致電,受害者也需要輸入追蹤碼以進行包裹追蹤,然後就是等待。
Mamont的危險
事實上,受害者輸入的「追蹤碼」其實是受害者的識別碼,木馬程式會開始攔截所有該裝置收到的推送通知(例如銀行交易的確定碼),然後轉寄到攻擊者的伺服器,同一時間Mamont還會與攻擊者伺服器建立連線,等待額外的指令,包括:
- 把應用程式圖標轉成透明進行隱藏
- 把過去3天接收到的SMS訊息轉發給攻擊者
- 把開界面上載受害者電話相簿內的照片到攻擊者伺服器
- 向任意號碼發送SMS
另外,攻擊者可以向受害者展示任意文字作為額外資訊,透過此方法可以讓受害者輸入額外的憑證,收集更多資料作為進一步社交工程(例如偽裝執法部門的威嚇信件),盜竊照片相信也是相同目的,如果受害者是小企業的老闆就更加危險,他們經常使用電話相機拍攝生意的資料。Kaspersky的保安方案偵測到這種攻擊為Trojan-Banker.AndroidOS.Mamont,更詳細資料可以瀏覽Securelist。
攻擊目標
這個活動集中攻擊俄羅斯的Android智能手機,攻擊者會強調這一點並拒絕「送貨」給其他手機用戶,不過網絡犯罪份子的工具經常免費出現在暗網,其他國家的用戶並不能獨善其身。
網上購物要注意安全
其實只要遵循簡單的安全守則就能避免手機被惡意程式感染,尤其對於手機會用在生意之上時,更需要特別注意:
- 對網絡上特別優惠的商品或服務要抱懷疑態度(如果售價明顯低於市會,意味著賣方從其他途徑獲利)
- 不要執行來歷不明的.apk檔案,應該透過官方商店或官方的資源安裝。
- 使用可靠的保安方案防範被安裝惡意程式和攔截惡意連結
資料來源:Kaspersky Blog
