安裝惡意應用程式　駭客利用WebAPK欺騙Android用戶

編譯／Cynthia

近日發現駭客利用Android系統的WebAPK技術，成功對使用者進行釣魚攻擊，藉此竊取敏感的個人資料。這項攻擊開始於受害者收到一封看似官方的訊息，聲稱需要更新網路銀行應用程式以提高安全性，無知的用戶可能會盲目點選超連結，造成用戶陷入駭客設下的陷阱。

一旦用戶點選連結，受害者將被引導至一個看似真實的網站，然而這實際上是一個偽造的頁面。這裡使用了WebAPK技術，這是一種允許使用者在Android設備上安裝漸進式網路應用程式（Progressive Web App，PWA）的方法，而無需透過Google Play商店進行安裝。PWA具有離線使用應用程式、快速載入並立即顯示內容減少等待時間、響應式介面設計、安全的通信、自動更新確保獲得最新版本和功能等提供良好使用經驗之優點，儘管這項技術在提供用戶方便的同時，也為駭客提供了可乘之機。

這個偽造的網站成功在受害者的手機上安裝一個看似正常的網路銀行應用程式，但實際上它是一個惡意的應用程式，偽裝成波蘭PKO Bank Polski跨國銀行和金融服務公司。這款惡意應用程式在外表上與真正的網路銀行應用程式幾乎沒有區別，以此蒙蔽使用者，讓他們卸下警戒。

一旦受害者安裝惡意應用程式，它會迫使使用者輸入自己的帳號密碼和雙因素身份驗證，讓使用者以為這只是一次正常的登錄程序，而應用程式背後是駭客正在竊取這些個人資料，將其用於不法用途。對於許多使用者來說，這可能是一種毫無預警的攻擊，讓他們完全不知道自己的隱私正在遭受威脅。

然而，要對抗這樣的攻擊卻相當具有挑戰性。WebAPK應用程式在不同設備上生成不同的封包名稱和驗證碼，使得威脅指標難以追蹤。這使得傳統的防護方法可能會無法辨識並阻止這些惡意應用程式的入侵。儘管如此，對於使用者而言，保護自己的安全並不是毫無對策，封鎖使用WebAPK機制進行釣魚攻擊的網站是一個有效的措施，並建議使用者不要輕信未經證實的訊息或連結與驗證相關真實性，應該總是檢查任何更新或通知的官方來源，我們才能在網路空間中保持警覺，確保個人資料不會落入不法分子手中。

資料來源：The Hacker News

瀏覽 892 次