RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [新聞] [轉貼]【資安日報】中國駭客鎖定臺灣安卓用戶,提供Whoscall破解程式來散布惡意軟體   字型大小:||| 
n725
銀驢友〔初級〕
等級: 12等級: 12等級: 12


十週年紀念徽章(五級)  

今日心情

 . 積分: 387
 . 文章: 717
 . 收花: 2836 支
 . 送花: 2746 支
 . 比例: 0.97
 . 在線: 2512 小時
 . 瀏覽: 66982 頁
 . 註冊: 8211
 . 失蹤: 0
#1 : 2023-9-26 12:31 PM     只看本作者 引言回覆

原址https://www.ithome.com.tw/news/158928

文/羅正漢 | 2023-09-23發表



資安業者Volexity在9月22日揭露中國駭客組織EvilBamboo(或稱Evil Eye)鎖定行動裝置的多起攻擊行動,特別的是,當中特別提到一起鎖定臺灣民眾的攻擊事件,手法是聲稱分享「Whoscall来電辨識」破解版,並在臺灣的論壇上散布安卓間諜軟體BadBazaar,受到國內資安界的關注。

根據Volexity研究人員的說明,這些中國駭客從2023年1月17日開始,就在Android台灣中文網(Apk.tw)的論壇上,持續假藉提供Whoscall新破解版的名義,在貼文底部提供QR Code的下載連結,引誘國人下載他們提供的惡意APK安裝檔(其載點則是他們濫用了Google Drive、Dropbox的雲端硬碟服務),讓用戶將檔案下載到手機上安裝。而且每次發布新版本APK時,連結也會更新。也就是說,藉由這樣的方式,將Android間諜軟體BADBAZAAR散布到上當的我國民眾的手機上。

值得關注的是,我們從研究人員張貼的圖片可看出,其標題為【電話/簡訊/通訊]Whoscall来電辨識v7.43付破解版+版本自動更新】,該篇討論串的內容已有9.4萬次的瀏覽量,並有900多個回覆。今日(9月23日) 我們查看該篇文章,標題已變更為7.45版,瀏覽次數已破10.2萬。



這樣的針對性攻擊,顯然是針對臺灣民眾而來,並且利用國人想要防詐騙安裝Whoscall,卻貪小便宜不想付費或不想受廣告干擾的心理。

另外,根據使用者的回應,此包含惡意的APK應該具備Whoscall的各項功能,而有可能讓使用者掉以輕心,沒有察覺手機已被植入惡意軟體。

Volexity指出,EvilBamboo是一個受中國政府支持的駭客組織,他們已追蹤這個駭客組織長達五年,主要鎖定西藏、維吾爾與臺灣的個人與組織,而這3者也就是中國共產黨(CCP)經常威脅的目標。

關於這次針對我國民眾的這隻安卓間諜軟體BadBazaar,Volexity說明,最早是資安業者Lookout在2022年發現,當時該惡意軟體鎖定的是維吾爾人。

這次Volexity研究相關樣本時,發現與Lookout之前的揭露沒有太多差異。其功能包含:可獲取簡訊、通話紀錄、設備資訊(IMEI、IMSI、時區、Wi-Fi詳細之廖)、拍照、聯絡人清單、已安裝的App、設備上儲存的文件與圖片,以及設備的位置。

不過,研究人員在最新版本發現EvilBamboo的新變種,具有允許EvilBamboo自動更新應用程式的附加功能,因為程式中多了judgeUpdateOrNot的函式。



總體而言,Volexity這次揭露了EvilBamboo利用多種管道散布行動惡意程式。不只是有上述針對臺灣、利用論壇散布的方式,也有針對其他不同對象利用假網站與社交平臺,以及利用基於Telegram的方式。

此外,EvilBamboo至少使用3種不同的Android間諜軟體家族,包括:BADBAZAAR、BADSIGNAL和BADSOLAR,這些惡意程式均被插入到合法程式作為後門。

其中BADBAZAAR被用於攻擊的目標,包括西藏、維吾爾人,以及我國臺灣民眾,BADSIGNAL被用於攻擊西藏人士,BADSOLAR被用於攻擊維吾爾人士。

最後,Volexity提醒,EvilBamboo駭客組織散布這些行動惡意程式,都是利用用戶自己去安裝後門應用程式,突顯安裝App應從可信來源的重要性。還有一些假冒網站是專為特定族群量身打造的情況,也必須要注意。

而且,攻擊者引誘民眾安裝這些間諜程式成功之後,使得駭客得以收集大量有關個人的高度敏感資訊,這可能使受害民眾及其親近之人處於危險之中。

【補充更新】對此事件,推出Whoscall的Gogolook於晚間8時40分點表示,有鑒於國外資安廠商Volexity發布調查報告指出,海外駭客透過非法APK形式在論壇內上架盜版APP軟體,不慎下載後恐造成個人資料外洩的風險。隨著Whoscall成為民眾必載的防詐APP,Whoscall呼籲民眾若有安裝需求,請務必前往Google Play或APP Store下載,至少在這兩個平臺的資安審核下,幫助使用者可以獲得最基本的保障與風險過濾。同時,Whoscall團隊今(23)日早上已向警政署刑事局報案並進入調查階段,有關單位將會封鎖相關高風險網域,保護民眾安全。

資料來源
1. https://twitter.com/vxunderground/status/1705047695084175648
2. https://twitter.com/vxunderground/status/1705042920137425171
3. https://www.documentcloud.org/do ... breach-notification
4. https://www.ithome.com.tw/news/158927
5. https://forum.gamer.com.tw/C.php?bsn=60559&snA=63182&tnum=6

[n725 在  2023-9-26 12:42 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記

   



 



所在時區為 GMT+8, 現在時間是 2024-12-4 02:03 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.026934 second(s), 14 queries , Qzip disabled