最近發現的安卓惡意軟體 Herodotus 的出現,引發了網路安全領域的廣泛關注。該惡意軟體採用惡意軟體即服務 (MaaS) 模式運行,使得惡意攻擊者能夠相對輕鬆地開發和部署它。 Herodotus 利用欺騙性策略誤導使用者並繞過各種安全措施,對裝置完整性構成嚴重威脅。本文將深入探討 Herodotus 的工作原理、其入侵設備的方式,以及保護您數位生活的關鍵步驟。
了解希羅多德的寫作方式
Herodotus 是一款獨具特色的惡意軟體,它融合了臭名昭著的 Brokewell 的部分功能,並引入了自身複雜的技術手段。其主要傳播方式包括簡訊釣魚攻擊和誘導用戶側載該應用程式的惡意網頁。
安裝完成後,惡意軟體會提示使用者啟用輔助使用服務,並直接引導使用者進入裝置設定。這項操作允許 Herodotus 執行其惡意任務,主要目的是盜取銀行帳戶資金。
啟動後,它會接收自訂命令來開啟特定應用程式、攔截雙重認證 (2FA) 簡訊、自動填寫表單,並透過點擊和手勢操縱裝置輸入。
值得注意的是,Herodotus 透過在輸入文字時引入 0.3 到 3 秒的隨機延遲來模擬人類自然打字。這種策略使其能夠繞過許多應用程式部署的行為監控機制的偵測,使得標準安全解決方案難以識別威脅。由於它以行動即服務 (MaaS) 的形式提供,多個使用者可以存取和使用它,目前已有報告顯示 Herodotus 已投入使用七個不同的實例。
希羅多德論預防感染
抵禦Herodotus惡意軟體的第一道防線是提高警覺和謹慎行事。作為一種銀行木馬,它會偽裝成合法應用程式誘騙用戶下載。務必對透過簡訊或瀏覽器彈出的、要求安裝應用程式的連結保持高度警惕,無論它們聲稱是安全更新或其他必要應用程式。
正規管道不會要求您手動安裝應用程式,因為更新通常不需要這樣做。請務必從 Google Play 商店或其他可信任應用程式商店取得應用程式,尤其是在收到看似未經請求或異常的推播通知時。
啟用輔助功能服務的請求應立即引起警覺。授予此權限將使惡意軟體能夠觀察和操縱螢幕內容,從而使駭客能夠控制您的裝置。
此外,請確保已在應用程式商店中啟用 Google Play Protect,因為此功能會自動識別並停用有害應用程式。若要檢查其狀態,請開啟 Play 商店,點選主選單中的「Play Protect」,然後確認已啟用。
辨識希羅多德感染的跡象
由於 Herodotus 擁有更高的存取權和乾擾行為追蹤的能力,普通安全軟體可能難以檢測到它。如果您懷疑您的安卓裝置可能已被入侵,請注意以下警告訊號:
- 如果您遇到可疑的全螢幕提示,敦促您等待,尤其是在啟動銀行應用程式等敏感應用程式時,這可能表示存在惡意軟體活動。
- 未知應用程式擁有輔助功能權限:存取權限應僅授予受信任的應用程式。請檢查「設定」→「輔助功能」→「已下載的應用程式」,查看是否有不熟悉的條目。
- 意外的短信活動:如果您開始收到您不認識的 2FA 短信,或者短信數量意外增加,則您的設備可能已被 Herodotus 入侵。
- 資源佔用增加:此惡意軟體會運行大量後台進程,可能導致電池異常耗電或系統運作緩慢。請檢查「設定」→「電池」,尋找任何消耗過多電量的未知應用。
如果您的裝置感染了病毒,請採取以下步驟
如果您確認您的裝置感染了Herodotus病毒,請立即將手機切換到飛航模式,並依照以下重要步驟:
解除安裝惡意應用程式
您的首要任務是清除惡意軟體。由於它擁有較高的權限,傳統的卸載方法可能不足以徹底清除。如果您卸載困難,請重新進入輔助功能設置,撤銷其權限。
此外,請依序進入「設定」→「隱私權保護」→「特殊權限」,確保惡意軟體沒有「裝置管理員」或「顯示其他應用程式」的權限。將裝置啟動到 Android 安全模式也有助於清除惡意軟體。
保護您的線上帳戶。
立即使用安全設備更改所有在被入侵設備上存取過的帳戶密碼,尤其是銀行帳戶密碼。盡可能使用驗證器應用程式啟用雙重認證 (2FA),並透過線上服務的安全設定撤銷所有活躍工作階段。如果發現未經授權的交易,請立即通知您的金融機構。
執行全面安全掃描
卸載惡意應用程式後,請務必進行安全掃描,確保徹底清除所有惡意軟體痕跡。首先,如前所述,請造訪 Google Play 商店中的Play Protect進行掃描。隨後,建議下載可信賴的防毒軟體,例如Avast Antivirus & Security,對系統進行全面檢查。
為了進一步防範希羅多德式的攻擊,備份重要資料並恢復廠設定是明智之舉。
預防像Herodotus這樣的惡意軟體,主要在於僅從Google Play商店下載應用,避免側載。然而,即使是來自信譽良好的來源的應用也可能被篡改,因此啟用所有可用的Android安全功能對於最佳防護至關重要。
發佈留言