關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.07.30
訊息與報導/資訊安全
假App檔竊資料、跨國勒索危機擴散

報導摘要

這篇文章揭示了一場代號為SarangTrap的大規模行動惡意軟體活動,網路犯罪分子利用偽造的Android和iOS應用程式來竊取敏感的個人數據並勒索用戶。南韓是主要的目標區域,但印度、孟加拉和越南也出現了類似的活動,這些惡意應用程式通常會偽裝成金融服務或熱門通訊應用程式(如Telegram)。文章指出,犯罪分子會將惡意應用程式偽裝成合法的約會、社交網絡、雲端儲存或汽車服務應用程式,誘騙Android用戶從模仿應用商店列表的假冒網域安裝這些應用程式,然後請求敏感權限以竊取聯絡人清單和圖片。對於iOS用戶,則透過誘騙安裝具欺騙性的行動配置描述檔來獲取聯絡人、照片和照片庫。此外,某些活動還利用舊版Android的Janus漏洞,或使用像RedHook這樣複雜的銀行木馬程式,結合按鍵記錄和遠端存取功能來竊取憑證並進行金融詐欺。這些犯罪分子也使用社會工程學,威脅分享個人影片來勒索受害者。


資安風險

當前利用假應用程式竊取資料的資安風險主要來自以下幾個方面:
  1. 惡意應用程式偽裝性高:網路犯罪分子擅長將惡意應用程式偽裝成看似合法的應用程式(如約會、社交、金融或通訊軟體),使得用戶難以辨識其真實目的。
  2. 釣魚與社會工程學結合:攻擊者透過假冒網域、邀請碼和勒索威脅等社交工程學手法,誘騙用戶下載惡意應用程式或洩露個人資訊。
  3. 繞過應用程式商店審核:зло意應用程式通常不在官方應用程式商店上架,而是透過第三方平台或偽造網域分發,繞過嚴格的安全審核。
  4. 請求過多敏感權限:惡意應用程式在安裝後會請求讀取聯絡人、照片、簡訊等敏感權限,一旦用戶授權,個人數據將面臨被竊取的風險。
  5. 跨平台攻擊威脅:這類攻擊不僅針對Android用戶,也利用iOS的配置描述檔進行攻擊,顯示其跨平台滲透的能力。
  6. 金融木馬與遠端控制:部分惡意應用程式具備銀行木馬功能(如RedHook),能夠記錄按鍵、遠端存取設備,進而竊取銀行憑證和進行金融詐欺。


安全影響

這些資安風險對用戶和組織帶來了嚴重的安全影響:
  1. 個人數據與隱私洩露:聯絡人清單、照片、簡訊等敏感個人數據被竊取,導致嚴重的隱私洩露。
  2. 財務損失:金融木馬程式可直接竊取銀行憑證,導致用戶銀行帳戶被盜用,造成直接的經濟損失。
  3. 勒索與心理傷害:犯罪分子透過掌握受害者的個人影片或其他敏感資料進行勒索,對受害者造成巨大的心理壓力和傷害。
  4. 企業聲譽與信任受損:若員工的行動裝置受到感染並用於企業業務,可能導致企業數據洩露,損害企業聲譽和客戶信任。
  5. 內部系統漏洞暴露:若攻擊者透過受感染的裝置進入企業內部網絡,可能會暴露更多內部系統漏洞,引發更大的資安危機。
  6. 資安維護成本增加:組織需要投入更多資源來監測、防範和應對這類行動惡意軟體攻擊,增加資安維護成本。


行動建議

為有效防範假應用程式帶來的威脅,個人用戶和組織應採取以下行動: 
針對個人用戶:
  1. 僅從官方管道下載應用程式:務必從Google Play Store或Apple App Store等官方應用程式商店下載應用程式,避免從不明來源或第三方網域下載。
  2. 仔細審查應用程式權限:在安裝應用程式前,仔細檢查其請求的權限是否合理,如果應用程式請求與其功能不符的敏感權限,應提高警惕。
  3. 警惕異常邀請碼:對於需要邀請碼或要求提供個人敏感資訊的應用程式,應特別小心,並對其來源進行驗證。
  4. 定期檢查設備設定:定期檢查手機已安裝的應用程式、配置描述檔和權限設定,移除任何可疑或不需要的項目。
  5. 保持作業系統與應用程式更新:確保手機作業系統和所有應用程式保持最新版本,以修補已知漏洞。
  6. 使用可靠的行動安全軟體:安裝信譽良好的行動安全軟體,提供即時惡意軟體偵測和防護。
針對組織:
  1. 實施行動裝置管理(MDM):利用MDM解決方案來管理和監控企業內部員工的行動裝置,強制執行安全策略。
  2. 建立應用程式白名單:限制員工只能安裝經過審核和允許的應用程式,阻止惡意或未經授權的應用程式。
  3. 加強員工資安意識培訓:定期對員工進行行動資安威脅的培訓,教導他們識別釣魚攻擊、惡意應用程式和社交工程學手法。
  4. 監控可疑的應用程式行為:部署能夠監測應用程式異常行為的資安工具,如過度請求權限、異常的網路流量等。
  5. 實施多因素驗證 (MFA):鼓勵或強制員工在所有企業帳戶上啟用MFA,增加帳戶安全性。
  6. 建立事件響應計畫:針對行動資安事件制定明確的響應計畫,以便在發生攻擊時能迅速隔離、分析和解決問題。


結論

行動裝置已成為網路犯罪分子竊取數據和進行勒索的主要目標,假應用程式活動(如 SarangTrap)的日益猖獗,凸顯了行動安全防護的迫切性。這場危機不僅威脅個人隱私和財務安全,也對企業的資料保護和聲譽構成嚴重挑戰。面對這些複雜且不斷演變的威脅,單純依賴傳統防護已不足夠。個人用戶必須提高警惕,只從官方管道下載應用程式並仔細審查權限;組織則需建立更全面的行動裝置管理策略,加強員工培訓,並利用先進的資安技術來監測和防範。唯有透過技術與意識的雙管齊下,我們才能有效築起行動安全的防線,共同應對這場隱而不宣的應用程式資安危機。
 
資料來源:https://thehackernews.com/2025/07/cybercriminals-use-fake-apps-to-steal.html