2013年8月12日 星期一

近千萬人下載的南韓知名網銀APP,遭Android的Master Key漏洞攻擊

近千萬人下載的南韓知名網銀APP,遭Android的Master Key漏洞攻擊

我們在部落格上說明了 Android 的 Master Key (金鑰) 漏洞,此漏洞可讓網路犯罪者將使用者裝置上所安裝的正常 App 程式「更新」為暗藏其惡意程式碼的版本。自從該漏洞出現以來,趨勢科技即一直密切觀察是否有任何利用此漏洞的威脅,現在我們發現了一個這樣的程式,其目標是南韓 NH Bank 網路銀行的 App 程式。

NH Nonghyup Bank (農協銀行) 是南韓最大的金融機構之一,其網路銀行 App 程式在行動裝置用戶之間使用頗為廣泛,目前安裝次數已達 500 萬至 1,000 萬之間。

歹徒看上該程式的熱門程度,在第三方 App 程式下載網站上提供了一份更新程式供人下載。當然,這份更新是惡意程式。此程式利用了 Android 的 Master Key 漏洞,在 App 程式內插入了一個惡意檔案,將它「木馬化」。

暗藏惡意程式碼的「classes.dex」檔案比正常的版本小,只有 205 KB。

網路犯罪者也製作了一個該銀行 App 程式的木馬化版本,目的是要在使用者裝置尚未安裝該程式時派上用場。惡意的 App 程式在執行時會顯示一個假冒的頁面,要求使用者輸入帳號資訊。

木馬化的銀行 App 程式執行時會顯示的頁面。

 一旦使用者輸入資料並確認,資料就會傳送至歹徒操控的遠端惡意伺服器。

這項發現突顯出 Master Key 漏洞對 Android 使用者的危險性。該漏洞遭木馬化銀行 App 程式所利用,其風險就如同今日我們所知道的網路銀行威脅,不僅會造成個人資料外洩,還可能造成財務損失。

此外,由於它是竄改使用者裝置上已有的 App 程式,因此不太容易看出異樣,等使用者發現時可能為時已晚。

*建議:使用者只從可信賴的來源下載 App 程式及更新,當然,最好是官方來源或官方應用程式商店。

原文出處:Master Key Android Vulnerability Used to Trojanize Banking App
原文作者:Peter Yan
轉載自《雲端運算與網路安全趨勢部落格》