【重新開始】變種Android木馬BRATA 新增還原手機出廠設定功能
Android 惡意軟件 BRATA 被發現加入新功能,新增功能包括 GPS 位置追蹤、加入新通訊渠道以及將手機還原出廠設定,對一般 Android 手機用家來說,最損傷慘重的應該是還原出廠設定。不想中招,就要留意幾點。
BRATA 最早於 2019 年被防毒軟件公司 Kaspersky 發現,當時它主要是一款針對巴西用家的 Android 遙距入侵木馬軟件,用於竊取用家在手機內儲存的重要資料。直至去年 12 月,網絡安全公司 Cleafy 便發現 BRATA 開始流入歐洲,並且瞄準使用網上銀行的 Android 用家。而在 Cleafy 剛發表的詳細調查報告,除了發現加入三項新功能,散播地區更加入英國、波蘭、意大利、西班加、中國及拉丁美洲,可見背後的黑客集團正在擴大攻擊範圍。而為了攻擊不同地區的用家,BRATA 亦有不同的語言版本及屏幕覆蓋層模組,加強盜取輸入資料的成功率。
為了避過防毒軟件的偵測,黑客今次會將 BRATA 的 APK 檔案包裝成 JAR 或 DEX 檔案,當進入手機後才解壓,在執行程序中先掃描手機內有否安裝防毒軟件,如有的話就先行剷除,再執行次階段的下載及安裝步驟。新版本 BRATA 加入多項新功能,包括用途未明的 GPS 位置追蹤。新支援 HTTP 及 WebSockets 轉輸渠道,研究員便指後者可減少通訊延緩,而且數據流量亦較少,不易被防毒軟件發現傳送了可疑的數據。
對 Android 用家最大的影響,莫過於新加入將手機還原出廠設定功能,研究員說它原本的用途在於可在有需要時消除自己曾入侵的痕跡,但由於會將手機內儲存的資料完全剷除,因此如用家未有備份手機,將會導致部分或全部資料無法復原。研究員解釋,一般 Android 惡意軟件都會透過第三方 app 商店發放,所以用家如想避免成為網絡攻擊的受害者,便應只在 Google Play Store 下載及安裝軟件,不要啟動手機安裝第三方軟件的功能。另外在執行及打開下載檔案前,必須以防毒軟件進行偵測,而在安裝過程亦要小心細閱軟件要求獲取的手機使用權痕,例如這次的 BRATA 便要求完全刪除手機資料權限,因此只要小心執行上述步驟,便可減少中招風險。