[新聞] 中國駭客在臺灣論壇散布假「Whoscall」破

中國駭客在臺灣論壇散布假「Whoscall」破解版，暗藏間諜軟體，該討論串已有10萬瀏覽次 數 文/羅正漢 | 2023-09-23發表 資安業者Volexity在9月22日揭露中國駭客組織EvilBamboo（或稱Evil Eye）鎖定行動裝置 的多起攻擊行動，特別的是，當中特別提到一起鎖定臺灣民眾的攻擊事件，手法是聲稱分 享「Whoscall来電辨識」破解版，並在臺灣的論壇上散布安卓間諜軟體BadBazaar，受到國 內資安界的關注。 根據Volexity研究人員的說明，這些中國駭客從2023年1月17日開始，就在Android台灣中 文網（Apk.tw）的論壇上，持續假藉提供Whoscall新破解版的名義，在貼文底部提供QR Code的下載連結，引誘國人下載他們提供的惡意APK安裝檔（其載點則是他們濫用了Google Drive、Dropbox的雲端硬碟服務），讓用戶將檔案下載到手機上安裝。而且每次發布新版 本APK時，連結也會更新。也就是說，藉由這樣的方式，將Android間諜軟體BADBAZAAR散布 到上當的我國民眾的手機上。 值得關注的是，我們從研究人員張貼的圖片可看出，其標題為【電話/簡訊/通訊]Whoscall 来電辨識v7.43付破解版+版本自動更新】，該篇討論串的內容已有9.4萬次的瀏覽量，並有 900多個回覆。今日（9月23日) 我們查看該篇文章，標題已變更為7.45版，瀏覽次數已破 10.2萬。 這樣的針對性攻擊，顯然是針對臺灣民眾而來，並且利用國人想要防詐騙安裝Whoscall， 卻貪小便宜不想付費或不想受廣告干擾的心理。 另外，根據使用者的回應，此包含惡意的APK應該具備Whoscall的各項功能，而有可能讓使 用者掉以輕心，沒有察覺手機已被植入惡意軟體。 Volexity指出，EvilBamboo是一個受中國政府支持的駭客組織，他們已追蹤這個駭客組織 長達五年，主要鎖定西藏、維吾爾與臺灣的個人與組織，而這3者也就是中國共產黨（CCP ）經常威脅的目標。 關於這次針對我國民眾的這隻安卓間諜軟體BadBazaar，Volexity說明，最早是資安業者 Lookout在2022年發現，當時該惡意軟體鎖定的是維吾爾人。 這次Volexity研究相關樣本時，發現與Lookout之前的揭露沒有太多差異。其功能包含：可 獲取簡訊、通話紀錄、設備資訊（IMEI、IMSI、時區、Wi-Fi詳細之廖）、拍照、聯絡人清 單、已安裝的App、設備上儲存的文件與圖片，以及設備的位置。 不過，研究人員在最新版本發現EvilBamboo的新變種，具有允許EvilBamboo自動更新應用 程式的附加功能，因為程式中多了judgeUpdateOrNot的函式。 總體而言，Volexity這次揭露了EvilBamboo利用多種管道散布行動惡意程式。不只是有上 述針對臺灣、利用論壇散布的方式，也有利用假網站與社交平臺，以及利用基於Telegram 的方式。 此外，EvilBamboo至少使用3種不同的Android間諜軟體家族，包括：BADBAZAAR、 BADSIGNAL和BADSOLAR，這些惡意程式均被插入到合法程式作為後門。 其中BADBAZAAR被用於攻擊的目標，包括西藏、維吾爾人，以及我國臺灣民眾，BADSIGNAL 被用於攻擊西藏人士，BADSOLAR被用於攻擊維吾爾人士。 最後，Volexity提醒，EvilBamboo駭客組織散布這些行動惡意程式，都是利用用戶自己去 安裝後門應用程式，突顯安裝App應從可信來源的重要性。還有一些假冒網站是專為特定族 群量身打造的情況，也必須要注意。 而且，攻擊者引誘民眾安裝這些間諜程式成功之後，使得駭客得以收集大量有關個人的高 度敏感資訊，這可能使受害民眾及其親近之人處於危險之中。 【補充更新】對此事件，推出Whoscall的Gogolook於晚間8時40分點表示，有鑒於國外資安 廠商Volexity發布調查報告指出，海外駭客透過非法APK形式在論壇內上架盜版APP軟體， 不慎下載後恐造成個人資料外洩的風險。隨著Whoscall成為民眾必載的防詐APP，Whoscall 呼籲民眾若有安裝需求，請務必前往Google Play或APP Store下載，至少在這兩個平臺的 資安審核下，幫助使用者可以獲得最基本的保障與風險過濾。同時，Whoscall團隊今 （23）日早上已向警政署刑事局報案並進入調查階段，有關單位將會封鎖相關高風險網域 ，保護民眾安全。 iThome https://www.ithome.com.tw/news/158928 ---- 免費仔卓粉不想付費跑去抓謎版軟體想白嫖 無意間投奔祖國把自己的個資也賣了 雖然Whoscall自從賣給Never之後也一路爛到現在就是了 -- 中級琪愛兒語講座 切嚕～♪ 切嚕切嚕、切切嚕啪、切嚕嚕嚕嚕嚕！ 切嚕拉、切拉切拉、切嚕切啵啪嗶？ https://i.imgur.com/8GtmQrR.jpg https://youtu.be/HCDsV4s5yBs --
※ 批踢踢實業坊(ptt.cc), 來自: 114.42.6.109 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1695547165.A.998.html

→ a27588679: 還好我都用google的 180.177.33.135 09/24 17:20

推 snsdakb48: 八成是安桌仔想仔破解版 27.52.41.175 09/24 17:20

推 qweertyui891: 同文同種114.137.235.105 09/24 17:20

→ nh60211as: 2023了還在用whoscall 125.228.71.204 09/24 17:21

→ aiam: 2023年了還有人去下載破解版軟體 220.142.68.63 09/24 17:21

推 SydLrio: 感謝塔綠班民進黨 111.83.162.44 09/24 17:21

推 eknbz: ios安定 101.10.9.174 09/24 17:22

→ SydLrio: 數位發展部毫無作用 111.83.162.44 09/24 17:22

推 nextbit: 下載破解版的,笑死 46.166.163.183 09/24 17:22

推 a94037501: whoscall會讀你簡訊根本盜刷後面 114.37.176.220 09/24 17:23

→ eknbz: whoscall幾年前有用過幾星期 覺得不順就移 101.10.9.174 09/24 17:23

→ eknbz: 除了 現在有什麼比較好的替代app嗎 101.10.9.174 09/24 17:24

推 nightwing: 數位發展部 還在睡覺 118.232.71.174 09/24 17:24

推 shirokase: google電話都比那個好用 42.72.59.246 09/24 17:24

→ yesonline: 具備Whoscall的各項功能... 笑死 220.133.253.85 09/24 17:25

推 bill219012: 哈哈 安卓仔 42.3.25.96 09/24 17:25

推 JUDSON1231: google內建，誰還用呼屎扣 42.78.211.63 09/24 17:26

→ a79111010: 早就內劍了誰還裝這個 1.169.85.107 09/24 17:26

→ ffaatt: 數發部搞不出嗎 180.217.199.55 09/24 17:26

推 Dorae5566: 安卓仔 114.46.222.225 09/24 17:26

→ andytaso: 還好,真的好佳在,林杯只用google 36.226.42.35 09/24 17:27

→ yesonline: 本來就Whoscall只是去廣告開啟自動更新 220.133.253.85 09/24 17:27

推 mysterydream: whocall屌打內建 1.200.240.139 09/24 17:27

→ andytaso: 謝謝google 林杯就是一支死免費仔 36.226.42.35 09/24 17:27

推 eknbz: 原來有內建喔 我安卓五六年沒更新了 101.10.9.174 09/24 17:28

推 botnet: 貪小便宜 42.72.54.104 09/24 17:29

推 C13H16ClNO: 數發部也不用做甚麼 直接買下whoscall 61.230.194.135 09/24 17:29

→ billy56: 直接上網查號碼就好了 完全不用裝 111.240.51.29 09/24 17:29