IT業界社群及資訊平台

【成就解鎖】TrickBot再進化 雙重驗證保安失效

以為雙重驗證碼(Two Factor Authentication, 2FA)好安全?魔高一丈嘅黑客已經成功破解,所有 Andriod 用戶嘅帳戶都有極大被盜用風險!

TrickBot 自 2016 年被發現至今,一直係最活躍嘅銀行木馬病毒。IBM X-Force 研究團隊最近公布 TrickBot 正利用一款 Andriod 惡意軟件 Trickmo,順利竊取多間銀行發出嘅雙重認證碼,竊取用家交易認證碼。

專攻德國銀行用戶

根據 IBM X-Force 研究團隊分析,呢款被命名為 TrickMo 嘅 Andriod 程式有自行更新特性,現階段正由一批位於德國嘅受感染電腦,繼續喺互聯網散播,入侵網上理財保安程序。安裝咗 TrickMo 應用程式後,用家就有機會被 TrickBot 截取一系列交易驗證碼(Transaction Authentication Numbers,TANs);當中包括認為高防護性嘅一次性動態密碼 (One-Time Password, OTP)、手機交易驗證碼(mTAN)、推送交易驗證碼(pushTAN)。由於暫時未發現 iOS 版本,所以 iPhone 手機用戶未受影響。

TrickMo 首次被發現嘅時間可追溯至 2019 年 9 月,CERT-Bund 保安研究團隊注意到當時一批受 TrickBot 感染嘅 Window 電腦,向受害人套取網上理財嘅手機號碼及手機型號,並提示佢哋安裝一個偽冒保安程式。當時 TrickBot 鎖定向德國網民推送一款偽冒成 Avast Security Control 或 Deutsche Bank Security Control 嘅惡意程式。一經安裝,受害人銀行所發送嘅就會自動轉發至 TrickBot,黑客就可以喺有效時限內登入轉錢。

病毒無限復活

根據 IBM X-Force 研究團隊發表嘅報告,TrickMo 嘅程式碼內含有 android.intent.action.SCREEN_ON 及 android.provider.Telephony.SMS_DELIVER 指令,能夠阻止用戶卸載程式,只要手機屏幕開啟或收到 SMS 就會自動重啟,TrickMo 亦會將自己設定預設接收短訊程式、監視手機運作程式,甚至抓取屏幕文字。

IBM X-Force 研究員話 ,TrickMo 完全係針對德國銀行廣泛採用嘅 TAN 保安密碼。原理係透過提升手機使用權限,令 TrickMo 可以取代手機用家點選屏幕上彈出嘅通知,同時將用家收到嘅保安密碼暗中轉發,以及刪除手機接收及發出保安密碼嘅記錄,受害者就難以發現。」

團隊發表報告到最後,總結 TrickMo 嘅 6 大特性,相比一般嘅銀行木馬,「毒性」相當高。

  • 竊取手機信息
  • 攔截短訊
  • 盜竊對像程式嘅 OTP/mTAN/pushTAN
  • 封鎖手機
  • 竊取手機相片
  • 自我毀滅並移除

自 2016 年被發現至今,TrickBot 係現存最活躍嘅模組式銀行惡意程式,一開始 TrickBot 只係竊取機密資料,但隨著開發者不斷更新功能,現已進化成可以攻擊 Android 系統嘅惡意程式。單獨發動以外,TrickBot 還可以引來其他惡意程式作多重侵襲手段,包括惡名昭彰嘅 Ryuk 勒索軟件,發動時機一般為偷晒受害者所有資料後。TrickBot 還具有入侵企業網絡嘅能力,一旦獲取管理者權限,它就可以盜取 Active Directory Database(活動目錄數據庫)並繼續入侵其他網絡。Android 用家要防止中招,都係果句,首先一定唔可以喺 Google Play Store 以外下載或安裝任何應用軟件喇。

資料來源:https://bit.ly/3aiMBMq

相關文章:【2FA 失效】10 分鐘搶奪 Instagram 帳戶