網絡犯罪份子為求達到目的可謂想盡千方百計,甚至用上假的婚禮邀請,實情是含有惡意APK檔案,明顯針對Android裝置的用戶,婚禮與APK檔看似風馬牛不相及,攻擊者卻巧妙地把兩者連繫上。
婚禮與APK如何連繫上?
在2024年Kaspersky的研究人員發現,馬來西亞和汶淶流傳著幾個幾個可疑兼明顯惡意的APK樣本,同一時間,在相同國家的社交網絡上的Android用戶,正在投訴他們的Whatsapp帳號被入侵或在WhatsApp或其他通訊應用程式收到可疑的APK檔案。研究人員隨後發現網絡犯罪份子正在對馬來西亞和汶淶的用戶,透過APK的形式發送婚禮邀請,受害者被遊說把APK安裝到他們的裝置上,在訊息中攻擊者首先向收件者道歉,聲稱透過WhatsApp邀請而非面對面進行,然後希望用戶從附件找出婚禮的時間和地點,結果發現與KSN偵測到的惡意APK吻合。
這項活動使用了兩個版本的相同盜竊工具(分別是2024年3月和8月的功能加強版),研究人員把它命名為「Tria」,來自似乎負責支援甚至整個活動的用戶名稱。
Tria的功能
這款惡意程式的最主要功能是從短訊和電郵收集數據,同時也會讀取電話往來和訊息記錄,在稍後透過不同的Telegram bot向C&C伺服器發送,攻擊者並非因為好奇也才盜竊以上資料,所有獲得的數據都會用作入侵受害者的Telegram、WhatsApp和其他帳號,然後向其他聯絡人發送索取金錢的訊息,而不差的情況是攻擊者要求和攔截一次性密碼,能存取受害者的網上銀行帳號。為了偽裝,盜竊工具採用社交工程策略,隱藏在齒輪圖示後面,模仿系統應用程式從使用者手上獲得所需的權限。惡意程式總共需要10個權限,包括存取網絡活動和收發短訊,詳細資料可以瀏覽Securelist。
儘管現時Tria只攻擊馬來西亞和汶淶的用戶,而且沒有針對任何特定個體,但網絡犯罪份子的想法難以捉摸,一旦決定大展拳腳,而且「主題」也不一定是婚禮,其他慶祝活動和生日也能夠成為題才,然後連結到惡意APK檔案,安裝可靠的防護方案,再留意以下的防範的要點。
防範Tria資料盜竊工具
Tria的散播方法簡單,令防範工作也相對容易:
- 通訊應用程式上永不回應陌生人,尤其對方要求下載和安裝某程式時,即使發送者來自聯絡人清單也一樣。
- 永不打開從不信任來源下載的APK檔案,如果需要安裝任何程式到智能電話,養成從官方商店或開發者網站下載。
- 在智能手機上安裝Kaspersky for Android
- 不要准許應用程式取得過多權限,尤其新安裝的應用程式。
- 增強通訊應用程式和社交網絡帳號的安裝,善用各平台上的私隱設定。
而無論面對任何詐騙,我們都建議在所有應用程式和服務設定雙重登入認證(2FA),不過面對Tria和其他多種木馬程式,2FA配搭由短訊接收的一次性密碼的話,因為惡意程式會攔截接收的短訊而取得OTP,甚至在用戶發現之前刪除有關訊息,而以上問題可透過驗認器應用程式解決。
資料來源:Kaspersky Blog
