行業新聞與部落格

已發現一種新的 Android 攻擊技術，該技術透過操縱執行時環境而非修改應用程式來進行攻擊。

CloudSEK 研究人員發現的這種方法利用 LSPosed 框架干擾系統級程序，使攻擊者能夠在不更改合法支付應用程式的程式碼或觸發標準安全檢查的情況下劫持合法的支付應用程式。

這種方法不同於以往依賴重新打包 APK 的攻擊。它直接針對底層作業系統，使惡意模組能夠攔截並篡改應用與裝置之間的通訊。因此，應用簽名仍然有效，而 Google Play Protect 等保護措施則會被繞過。

該技術與一個名為“Digital Lutera”的模組有關，該模組利用 Android API 攔截簡訊、偽造裝置身份並即時提取雙因素身份驗證 (2FA) 資料。

利用 SIM 卡繫結和系統 API

此次攻擊的核心在於 SIM 卡繫結機制的失效，而 SIM 卡繫結是移動支付系統中一項關鍵的安全功能。該機制通常用於確保銀行賬戶與實體 SIM 卡和裝置繫結。

攻擊者透過以下方式破壞此機制：

• 攔截簡訊驗證碼

• 透過系統 API 偽造電話號碼

• 將虛假簡訊記錄注入裝置資料庫

• 利用即時命令伺服器協調行動

透過將受害人的裝置與被篡改的攻擊者的裝置結合使用，詐騙分子可以欺騙銀行伺服器，使其誤以為受害人的 SIM 卡在其他地方。這使得詐騙分子能夠未經授權訪問賬戶並批准交易。

大規模欺詐風險

CloudSEK 指出，這種方法影響巨大。它能夠實現即時欺詐策劃和可擴充的賬戶接管，攻擊者可以在受害者不知情的情況下重置支付密碼並轉移資金。

在 Telegram 上也發現了與此次行動相關的活動，攻擊者似乎在該平臺上共享截獲的登入資料並協調訪問嘗試。研究分析的一個頻道包含超過 500 條與登入相關的訊息，表明該技術已被用於實際的攻擊活動中。

此次攻擊也暴露了現有信任模型的弱點。銀行通常依賴簡訊頭部和裝置訊號作為身份驗證依據，而這種方法實際上打破了這些假設。

此外，使用永續性系統級模組使得檢測和清除變得困難。即使重新安裝受影響的應用程式也無法消除威脅，因為惡意鉤子仍然在作業系統中處於活動狀態。

為降低風險，專家建議加強完整性檢查，包括基於硬體的驗證和更嚴格的簡訊傳送後端驗證。此外，從依賴裝置上報資料轉向運營商級確認也被視為應對這一不斷演變的威脅的關鍵。