新聞網址：https://www.ithome.com.tw/news/157130
新聞標題：知名螢幕錄製Android App內含RAT會監看用戶竊取文件

基礎知識

RAT (Remote Access Trojan)

• 定義

  • 惡意程式，允許攻擊者遠端存取和控制受感染的裝置

• 用來監控、竊取資料、安裝其他惡意軟體

C&C伺服器 (Command & Control Server)

• 定義

  • 由攻擊者控制的中央伺服器，它用於接收和發送命令到受感染的裝置

開源

• 定義

  • 軟體的原始碼可公開查看、使用、修改和分享

社交工程

• 定義

  • 偽裝成受害者信任的人來欺騙受害者下載 APP 或執行程式

木馬程式

• 定義

  • 偽裝成合法軟體的惡意程式，下載與執行時，在背後進行惡意行為

間諜行動

• 定義

  • 目的是秘密地收集敏感或機密的行動

事件整理

發現

• 知名 Android 螢幕錄製 App iRecorder 被發現含有 RAT

• 2023 年 5 月

  • 但問題版本自 2022 年 8 月起存在

• iRecorder 在 Google Play Store 下載次數超過 5 萬次

iRecorder App

• 2021 年 9 月

  • 首次上架

    • 初始版本無惡意程式

• 2022 年 8 月

  • 發現被植入惡意程式

    • AhRat

• 目的

  • 背後錄製受害者的環境並竊取手機檔案

• 開發商

  • 未對此事件回應

  • 提供的其他 Apps 並未發現有惡意程式碼

AhRat

• 基於開源Android RAT AhMyth 的變種

  • AhMyth

    • 2019

    • AhMythBalouch/RB Music App

• 存取受害者的麥克風，錄下周遭的聲音

  • 上傳到攻擊者的 C&C 伺服器

• 竊取特定附檔名的文件

  • 網頁、圖片、影音文件、壓縮檔

間諜行動

• 研究人員

  • AhRat

    • 與某大規模間諜行動可能有關

    • 原始版本

      • 被 Transparent Tribe 組織使用

        • 善用社交工程手法

        • 瞄準南亞政府及軍事組織聞名

      • 尚未確定二者的關聯

回應

• Google Play Store

  • 已下架

小試身手

iRecorder被發現含有哪種惡意程式

• A. AhPhone

• B. AhSpy

• C. AhRat

• D. AhTrack

• 答案

  • C. AhRat

AhRat 的主要功能是什麼

• A. 加速手機效能

• B. 錄製受害者螢幕

• C. 阻止其他應用程式執行

• D. 監控受害者並竊取資料

• 答案

  • D. 監控受害者並竊取資料

AhRat會存取受害者的什麼硬體以收集資訊

• A. 相機

• B. 麥克風

• C. GPS

• D. 指紋辨識器

• 答案

  • B. 麥克風

AhRat 會將資料上傳至哪裡

• A. 公共雲端儲存空間

• B. C&C伺服器

• C. 攻擊者的個人電腦

• D. 隨機的第三方伺服器

• 答案

  • B. C&C伺服器

在此事件後，Google 如何處理

iRecorder 這款 App ？

• A. 給予警告

• B. 更新其版本

• C. 要求更換App名稱

• D. 下架該App

• 答案

  • D. 下架該App