原标题:IBM:10款恶意程式暗藏木马,成功潜入Google Play
伪装成正常应用程序的恶意木马下载器
IBM资安团队X-Force从6月起,在Google△Play商店接连发现了至少10款恶意应用程序,这些恶意软件都以阿奴比斯银行木马(BankBot△Anubis)感染使用者的装置,借由偷取使用者的银行帐密,进行金融欺诈犯罪。研究团队提到,虽然10只恶意程式数量不多,但在每只恶意软件的C△C伺服器(Command-and-Control)都可以采集到超过一千个样本,影响总范围并不小。
随着Google△Play这类应用程序商店,开始采取了安全层级的机制,进一步阻碍了恶意软件的散布,不过,这些骇客也并非是省油的灯,研究团队提到,恶意行为趋向分工化与专业化,为规避不断发展的应用程序商店防御机制,骇客现在的策略倾向于不一开始就将恶意软件本体上传到商店中,以避免轻易的被侦测以及抽验发现。
取而代之,骇客们会先上传一个看似无害的软件,其中夹带下载器,下载器相对于恶意软件本身,更有机率闪过安全检查和递回扫描,而且一旦成功登陆被害者的装置,便可以大开后门,将恶意软件本体迎入系统内。这些在应用程序商店中的恶意下载器,以感染阿奴比斯银行木马为主要目的。
当受害者成功安装恶意下载器后,该应用程序便会从C△C伺服器下载阿奴比斯银行木马本体,而该木马会以Google△Protect为名(下图,来源:IBM△X-Force),伪装成正常应用,并要求使用者授予存取权限。而要求存取权限的目的,是要侧录使用者的键盘行为,这与大多数的银行木马不同,过去通常会在目标画面上,盖上一层假的画面,诱骗受害者信以为真,在上面输入帐号密码。但阿奴比斯银行木马通过侧录键盘,就可以在任何的应用程序中窃取帐密。
这些含有恶意下载器的应用程序被设计来针对土耳其语言用户,但通过不同的僵尸网络以及设计,阿奴比斯银行木马也影响30多个国家包含台湾。研究团队通过下载次数以及找到的恶意软件,来估算Google△Play商店中,这些恶意行为的活跃程度。在其中一个案例中,研究团队找到了一千多个阿奴比斯银行木马的样本,每个样本都有不同的MD5签章。
IBM△X-Force研究团队提到,这类的网络犯罪服务在黑市很常见,在商店中散布这些下载器的人,向各方恶意组织提供着专业服务,以进一步使用行动木马进行金融诈骗。这些人有能力不停地更新恶意下载器,并维持C△C伺服器的运作,以感染更多的受害者,这都一再证明了此为一个有组织、有技术且深思熟虑的犯罪集团。
另外,把恶意软件偷渡到官方商店中,对于骇客们来说效率很高,因为上面有最多的活跃使用者,而且使用者会倾向相信官方商店上的内容,因而降低了警觉性。X-Force研究团队也认为,这些有组织的散布恶意木马的行为已经商业化,并且存在专业的服务供应商,使用者应该意识到行动恶意程式所带来的风险。
相关:
Google释出开源工具助企业验证PostgreSQL的备份资料完整性
Google释出开源PostgreSQL页面验证(PostgreSQL△Page△Verification)工具,能帮助企业侦测PostgreSQL资料库变更程序中,所发生的资料丢失或是损坏的情形。采用Cloud△SQL的PostgreSQL用户,其资料库服务已经自动启
Arch Linux的AUR储存库部份套件程式码被加料,勿轻忽社交程式码储存库安全
Arch△Linux使用者储存库(Arch△User△Repository,AUR)中,被发现有3款套件存在恶意程式码。由于这些套件缺乏活跃维护者,使得骇客有机可乘,通过Git对这些套件插入恶意程式码。所幸通过程式码分析发现了这些恶意
恶意软件WellMess以Golang开发,跨作业系统锁定Linux与Windows
JPCERT警告一个名为WellMess的恶意软件,能够跨平台的感染Linux和Windows作业系统,供骇客远端执行任意指令或是传输档案,也能自动化执行任务。JPCERT提到,以往跨平台的恶意软件多见以Java开发,但这个WellMess则是
阔别5年,IBM协作软件Domino终于正式发布第10版,不只支援Node.js,还将伺服器Docker化
IBM△Domino△10除了支援Node.js开发框架、将Domino伺服器Docker化和能在iPad上运行外,还导入Watson认知技术以及第三方监控工具Application△Insight。 图片来源: 摄影/王若朴 IBM企业协作平台Domino第10版终于于
使用者现在可通过Google△Pay收到或请求亲友付款。 图片来源: Google Google于今年2月将Android△Pay与Google△Wallet合并为Google△Pay,本周即宣布更新Google△Pay功能,新增Peer△to△Peer支付服务,且开始支援