1.原文连结:https://www.ithome.com.tw/news/158928
2.原文标题:中国骇客在台湾论坛散布假“Whoscall”破解版,暗藏间谍软件,该讨论串
已有10万浏览次数
3.原文来源(媒体/作者):iThome/罗正汉| 2023-09-23发表
4.原文内容:中国骇客组织EvilBamboo锁定台湾安卓用户下手,假借提供破解版Whoscall
名义,在Android台湾中文网(Apk.tw)的论坛散布间谍软件。由于该讨论串已有10万次
浏览,可能已有许多人受害而不自知
https://i.imgur.com/R4FpwdP.jpg
资安业者Volexity在9月22日揭露中国骇客组织EvilBamboo(或称Evil Eye)锁定行动
装置的多起攻击行动,特别的是,当中特别提到一起锁定台湾民众的攻击事件,手法
是声称分享“Whoscall来电辨识”破解版,并在台湾的论坛上散布安卓间谍软件
BadBazaar,受到国内资安界的关注。
根据Volexity研究人员的说明,这些中国骇客从2023年1月17日开始,就在Android
台湾中文网(Apk.tw)的论坛上,持续假藉提供Whoscall新破解版的名义,在贴文
底部提供QR Code的下载连结,引诱国人下载他们提供的恶意APK安装档(其载点则是
他们滥用了Google Drive、Dropbox的云端硬盘服务),让用户将档案下载到手机上安装
。而且每次发布新版本APK时,连结也会更新。也就是说,借由这样的方式,将Android
间谍软件BADBAZAAR散布到上当的我国民众的手机上。
值得关注的是,我们从研究人员张贴的图片可看出,其标题为【电话/短信/通讯]
Whoscall来电辨识v7.43付破解版+版本自动更新】,该篇讨论串的内容已有
9.4万次的浏览量,并有900多个回复。今日(9月23日) 我们查看该篇文章,标题
已变更为7.45版,浏览次数已破10.2万。
https://i.imgur.com/86I2b2Y.png
这样的针对性攻击,显然是针对台湾民众而来,并且利用国人想要防诈骗安装Whoscall
,却贪小便宜不想付费或不想受广告干扰的心理。
另外,根据使用者的回应,此包含恶意的APK应该具备Whoscall的各项功能,而有可能
让使用者掉以轻心,没有察觉手机已被植入恶意软件。
Volexity指出,EvilBamboo是一个受中国政府支持的骇客组织,他们已追踪这个骇客组织
长达五年,主要锁定西藏、维吾尔与台湾的个人与组织,而这3者也就是中国共产党
(CCP)经常威胁的目标。
关于这次针对我国民众的这只安卓间谍软件BadBazaar,Volexity说明,最早是资安业者
Lookout在2022年发现,当时该恶意软件锁定的是维吾尔人。
这次Volexity研究相关样本时,发现与Lookout之前的揭露没有太多差异。其功能包含:
可获取短信、通话纪录、设备资讯(IMEI、IMSI、时区、Wi-Fi详细之廖)、拍照、
联络人清单、已安装的App、设备上储存的文件与图片,以及设备的位置。
不过,研究人员在最新版本发现EvilBamboo的新变种,具有允许EvilBamboo自动更新
应用程式的附加功能,因为程式中多了judgeUpdateOrNot的函式。
https://i.imgur.com/SQ6lfND.jpg
总体而言,Volexity这次揭露了EvilBamboo利用多种管道散布行动恶意程式。不只是有
上述针对台湾、利用论坛散布的方式,也有利用假网站与社交平台,以及利用基于
Telegram的方式。
此外,EvilBamboo至少使用3种不同的Android间谍软件家族,包括:BADBAZAAR、
BADSIGNAL和BADSOLAR,这些恶意程式均被插入到合法程式作为后门。
其中BADBAZAAR被用于攻击的目标,包括西藏、维吾尔人,以及我国台湾民众,
BADSIGNAL被用于攻击西藏人士,BADSOLAR被用于攻击维吾尔人士。
最后,Volexity提醒,EvilBamboo骇客组织散布这些行动恶意程式,都是利用用户自己
去安装后门应用程式,突显安装App应从可信来源的重要性。还有一些假冒网站
是专为特定族群量身打造的情况,也必须要注意。
而且,攻击者引诱民众安装这些间谍程式成功之后,使得骇客得以收集大量有关个人
的高度敏感资讯,这可能使受害民众及其亲近之人处于危险之中。
【补充更新】对此事件,推出Whoscall的Gogolook于晚间8时40分点表示,有鉴于国外
资安厂商Volexity发布调查报告指出,海外骇客透过非法APK形式在论坛内上架
盗版APP软件,不慎下载后恐造成个人资料外泄的风险。随着Whoscall成为民众必载
的防诈APP,Whoscall呼吁民众若有安装需求,请务必前往Google Play
或APP Store下载,至少在这两个平台的资安审核下,帮助使用者可以获得最基本
的保障与风险过滤。同时,Whoscall团队今(23)日早上已向警政署刑事局报案
并进入调查阶段,有关单位将会封锁相关高风险网域,保护民众安全。
5.心得/评论:使用者应尊重智慧财产权,透过正当管道购入或使用正版APP。
记得不久前就有透过短信提供连结下载假的 远通电收ETC APP之APK档。
建议有任何想使用之APP,应直接点选Google Play(Play商店)或APP Store进去搜寻
然后下载,不要透过任何连结跳转或是下载。