当前位置:首页  数码

数码

骇客出新招入侵企业MDM伺服器以散布Android恶意程式

2021-02-20 09:09:08

示意图,Photo by NordWood Themes on unsplash

资安业者Check Point本周揭露了骇客攻陷企业行动装置的新招术:直接入侵企业的行动装置管理(Mobile Device Manager,MDM)伺服器,再藉由伺服器的自动部署功能于大量的行动装置上植入Android恶意程式,造成该企业75%以上的行动装置都受到感染。

研究人员指出,他们是在今年2月侦测到企业有大量的行动装置被安装了恶意程式,由于恶意程式是在很短的时间内被安装在大量的装置上,于是他们揣测若非是恶意程式具备横式移动的能力,就是MDM伺服器就入侵了,结果答案是后者。

骇客所使用的是金融木马程式Cerberus的变种,但功能更为强大,它不只能纪录装置上的所有输入、窃取Google Authenticator资料、接收任何的简讯,还能透过TeamViewer自远端对装置下命令。

变种Cerberus还会自俄罗斯的C&C伺服器下载恶意模组,除了可蒐集通讯录与简讯之外,还能寄送简讯,打电话或传送USSD请求。

该恶意程式也利用多种技术来维持其长驻能力,例如赋予自己管理权限、複杂化反安装程序、一旦察觉使用者企图移除它就会自动关闭App Detail,而且它利用了无障碍服务,得以关闭Google Play Protect,以避免遭到侦测及移除。

受骇企业除了重设所有凭证之外,最后只得把所有的行动装置都回复到出厂预设值,以确保装置上不再存留恶意程式。

研究人员指出,这是他们第一次看到骇客利用MDM伺服器来散布恶意程式,MDM是整个行动网路的中央控制中心,只要被入侵,受害的就是整个网路,此事突显了管理行动装置与保护行动装置是两件事,行动装置的管理代表一次安装、配置及部署政策到不同的装置上,而保护行动装置则是避免它们遭到恶意程式的威胁与攻击。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。