Mac用戶注意!惡意程式僞裝股票交易軟體竊取個資

資安廠商提醒,近期發現有兩隻僞裝成Mac合法交易軟體Stockfolio的木馬病毒,將可能入侵Mac電腦中竊取個資。(圖/美聯社

記者邱倢芯/綜合報導

資安廠商趨勢科技近期發現,有發現兩隻僞裝成Mac合法交易軟體Stockfolio的木馬病毒,在熒幕上出現真實的股票交易介面,但卻在背景執行惡意行爲,竊取使用者個資。

趨勢科技指出,隨着數位應用盛行,股票交易軟體可讓消費者在股票或期貨市場自行進行交易,不須打電話給券商,可節省額外費用。同時也引來網路犯罪者的注意,透過製作假交易軟體,竊取使用者名稱IP地址、熒幕截圖等個資。

這兩隻僞裝成Mac上合法交易軟體Stockfolio的惡意病毒,其中一個變種僞裝成正常軟體的假應用程式,包含多個惡意組件,其軟體套件名爲「Stockfoli.app」,與正牌的應用程式「Stockfolio」 比較,名稱結尾少了 「o」 字母

根據趨勢科技分析,第一個惡意變種樣本包含兩個腳本程式(偵測爲Trojan.MacOS.GMERA.A),它會連結到遠端網站解密加密程式碼。一旦Mac用戶下載並執行了Stockfoli.app,熒幕上會出現真實的股票交易介面,卻在背景執行惡意行爲,收集使用者個資,並將所收集的資訊儲存到一個隱藏檔案:/tmp/.info,進一步將檔案傳送至遠端網址。當網址發出成功迴應後,它會再將回應寫入另一個隱藏檔案中。

而第二個惡意變種樣本(偵測爲Trojan.MacOS.GMERA.B),雖然只使用一個腳本程式以及更簡化的行爲,但實際上還加入了持續性機制。該變種樣本在2019年6月已上傳至VirusTotal,其包含了帶有惡意軟體作者數位憑證的Stockfolio 1.4.13版本軟體,當軟體執行時也會用類似的作法掩飾惡意行爲。

趨勢科技在分析惡意軟體過程中,發現惡意軟體攻擊者會簡化行爲並加入更多功能,推測攻擊者可能在尋找提高效率方法,甚至會在將來增加躲避偵測機制。該公司建議,消費者若只從官方來源下載應用程式,就可以減少下載到惡意應用程式的機會