伪装方式更高明的三种木马现身：采用多种回避机制，用户难以察觉异状

攻击者发动木马程式攻击，目标从过往的个人电脑，渐渐转移到行动装置。其中，安卓手机的使用者，能够从官方市集以外的来源安装应用程序，而成为不少木马程式锁定的目标。

在11月中旬，研究人员揭露多个新兴的安卓木马程式，分别为BrazKing、SharkBot，以及Gravity，攻击手法相当狡猾，若不慎上当、安装这些恶意程式，装置存放的个人资料不只会被窃取，对方也可能透过手机里的银行App，将受害者的银行账户的存款领走。

虽然这些恶意软件的攻击手法有不少差异，但相同的是，这些木马程式都采用多种反侦测的机制，如：不会在Android模拟器环境执行、程式码采用算法进行混淆等，且研究人员难以确认攻击者身份。

攻击者透过C2中继站下达命令，向使用者进行诈欺

为了能够在受害装置畅行无阻，许多木马程式都会强迫使用者授予各式的存取权限。但也有攻击者反其道而行，只滥用辅助服务，最终照样能执行各种窃密的工作。

IBM威胁情报团队针对新版BrazKing银行木马分析后，就有类似的发现。他们表示，攻击者采用相当少见的手法，来回避资安系统的侦测。例如，BrazKing因为直接使用系统的辅助服务，而只需要少量的权限即可执行窃密工作；对于覆盖手机屏幕的内容，BrazKing会侦测正在执行的处理程序，再从C2中继站下载所需的工具，而能躲过资安人员设置的沙箱或虚拟机器环境。

BrazKing在受害者安装完成后，会请求辅助服务的存取权限，但这个木马程式会显示如Google图示，借此让受害者误以为是Google的应用程序请求有关存取权限，而上当、同意给予权限。

研究人员表示，BrazKing的独特之处，在于它是透过C2中继站进行分析之后，确认受害装置是真实的行动装置，且位于目标地区：巴西，才会侦测受害手机状态，显示对应的覆盖画面。一旦BrazKing发现自己处于沙箱，或是装置位于巴西以外的国家，便不会攻击。

究竟BrazKing是如何在缺少各式权限的情况下，进行窃密的工作？IBM指出，攻击者主要是充分利用辅助工具达成。例如，针对手机屏幕呈现内容的撷取，BrazKing是透过程式语言来解析，而非屏幕截图。

而对于简讯与联络人资料的获取，BrazKing也透过解析屏幕画面的内容来达成，不需存取简讯与联络人资讯的许可。除了设法拿到装置里储存的简讯与联络人资料，攻击者也运用相同手法，侧录使用者在手机屏幕虚拟键盘输入的内容。

由此看来，BrazKing很依赖C2中继站发号司令，而为了持续通讯，这个木马程式，使用的通讯协定是WebSocket，并非许多木马程式使用的HTTP。事实上，WebSocket通讯协定提供了双向通讯的管道，并在交握时采用升级版HP标头，来排列BrazKing的工作，而这些工作将会个别执行，并从C2接收不同的任务。

而对于攻击者运用BrazKing的方式，研究人员指出，主要是借由C2中继站进行控制，来进行诈欺攻击。

例如，攻击者可向BrazKing下达显示屏幕通知的命令，引诱受害者开启银行App，然而，针对线上交易常见的双因素验证（2FA），BrazKing也有方法突破——在手机接收到简讯验证码后，显示假的PIN码输入画面，进而让攻击者取得这笔验证码，完成诈骗交易。

能擅自从手机App洗劫受害者的银行账号

骇客借由木马程式来窃取受害者银行帐密的手法，屡见不鲜，但近期这类恶意软件的攻击方式，也出现变化。

例如，提供网络诈骗防治解决方案的资安业者Cleafy指出，10月底他们发现新的安卓木马程式SharkBot，一旦受害手机安装了这个恶意软件，攻击者将会透过系统的辅助服务，掌控用户的银行资讯，且窃取帐密与信用卡资料，此外，这支木马程式，亦具备拦截银行发送的SMS简讯的能力。

分析僵尸网络的架构之后，Cleafy认为，该僵尸网络锁定目标，可能是英国、意大利及美国的银行与加密货币交易所。Cleafy指出，他们至少看到22个组织遭到攻击，这些单位多半是英国与意大利的银行，其中，有5个是提供加密货币服务的业者。

相较于其他现存恶意程式，Cleafy认为，SharkBot属于世代较新的行动装置恶意软件，因为它能发动“自动转账系统（Automatic Transfer System，ATS）”攻击手法，利用受害者的装置，将用户的银行账户存款偷走。

什么是自动转账系统攻击？这其实是一种进阶攻击手法，相关的工具能在遭骇的装置里，于银行App上自动填入特定的资料，进而在受害者最少操作次数的状况下，将银行账户存款转走。不过，能够发动ATS攻击的木马程式，SharkBot并非首例。在2019年3月出现的Gustuff，就具备这类机制。

银行木马SharkBot采用自动转账系统（ATS）的攻击手法，能自动将受害者的银行存款，转到攻击者的账户，图中便是SharkBot执行ATS攻击，将使用者在银行App输入的国际银行账户号码（左），置换成攻击者的账户号码（右）。

根据SharkBot具备ATS攻击能力的这项发现，Cleafy推测，攻击者应该是滥用辅助服务，亦即Android操作系统的内建功能，从而绕过许多银行与金融服务里，所采行的使用者行为侦测措施，像是生物辨识的验证机制，来达成自动化攻击。

而在攻击者滥用Android的系统辅助功能后，不只可以发动ATS攻击，还能借此执行其他行动。例如，进行屏幕覆盖攻击（Overlay Attack）窃取登入应用程序的帐密，以及信用卡资料；或者，拦截或隐藏受害装置收到的简讯。研究人员认为，攻击者甚至能取得完整的系统存取控制权，可从远端控制受害的Android装置。

除了上述攻击手法，这个恶意软件具备多种反侦测能力，像是可以反制模拟器的检查功能、隐藏应用程序的图示等。而在与C2中继站通讯的过程中，SharkBot不只使用网域产生算法（DGA）来连线，全程也使用Base64算法遮掩。

骇客谎称是即时通讯App，并成立介绍网站

有些骇客组织原先是锁定个人电脑下手，后来移转目标到行动装置。例如，近期出没的Gravity木马程式，早期主要是针对Windows电脑出手，曾于2018年攻击印度武装部队而引起资安人员的注意。到了这2到3年，Gravity又衍生出Android与macOS的版本，而不再只是针对Windows发动攻击。

根据资安业者Cyble最近的发现， 有人从印度上传新版Gravity木马程式，到VirusTotal分析。他们研究这个木马之后，发现攻击者将其包装成名为SoSafe Chat的即时通讯App，而且是针对Android装置而来，让受害者以为自己安装新的即时通讯软件而上当。

攻击者为了让受害者上当，不仅将Gravity伪装即时通讯软件，还成立了“官方网站”，煞有其事地介绍这套软件。不过，Cyble指出，这个网站的下载按钮，以及使用者注册的功能，似乎都遭到了停用。

为了让受害者相信SoSafe Chat是正派的即时通讯软件，Gravity木马程式的攻击者设立专属网站，当中不只有软件的简单介绍，也有使用者登入与申请账号的界面。无论从应用程序的图示，或是网站上的说明资讯，受害者都很难察觉这其实是捏造的即时通讯软件。

一旦受害者在手机上安装了这款恶意App，联络人资料、简讯，以及机密文件等资料将会遭到窃取。Gravity会向使用者要求多达42项权限，但实际滥用的共13项，有了这些，对方可存取简讯、联络人、通话记录、修改系统设定、读取电信网络的资讯，以及读取及写入档案、录音、取得装置的地理位置、取得网络连线。

但发动攻击的组织或个人身份，至今仍不得而知。Cyble指出，无论是从木马程式或网站进行分析，仍然难以确认背后的攻击者。虽然，先前使用Gravity木马程式的攻击里，研究人员怀疑，可能就是巴基斯
坦的骇客组织所为，但是，目前Cyble所采集到的证据有限，尚无法印证攻击者就是来自巴基斯坦。