| 風險等級: | 高度威脅 |
| 摘 要: | 病毒通告:GravityRAT 木馬程式在 Android App 會下載惡意檔案至載具上並竊取機敏資訊,請勿點選或開啟任何可疑的檔案並提高警覺! |
| 解決辦法: | 若不慎已感染此病毒,建議處理方式如下: 1、卸載安裝該應用程序,並阻擋所有外部可疑連線 2、使用密碼將檔案加密 3、不要給予使用者與程式過高的權限來執行工作 4、取消自動撥放 (AutoPlay) 避免在網路上自動執行檔案 5、關閉藍芽與檔案分享功能,如需要則使用權限控管名單 (Access Control List) 或 密碼 (password) 來存取: 6、一旦有檔案被感染,立刻將其隔離 7、如果以上步驟仍無法順利清除病毒,建議您參考以下廠商 (Cyble) 提供之步驟處理: https://blog.cyble.com/2021/11/11/gravity-rat-malware-returns-as-a-chat-application/ |
| 細節描述: | 近日資安廠商發現一個端對端加密安全聊天功能的 Android App,SoSafe Chat,內含惡意程式碼 GravityRAT,會竊取用戶的機敏資訊。
該木馬程式為遠端存取途徑,如安裝了 SoSafe Chat,其中的 GravityRAT就會竊取用戶手機中的各種機敏資訊,(用戶的簡訊內容、通話記錄、通訊錄、竄改手機系統設定、手機在基地台的註冊資訊、電話號碼、手機序號、手機內的檔案、盜錄對話、傳回手機所在地資料..)。 GravityRAT 在 2020 年之前只感染執行 Windows 作業系統的裝置,爾後則擴及到 Android 平台上。目前 SoSafe Chat 的網站仍然還在線上運作,但 App 下載連結已經失效;建議下載 Android App 前一定要提高警覺。 手法及程序名稱: (2) 惡意程序請求權限該程序請求 42 種不同的權限,其中攻擊者可以濫用下列主要權限 1. 讀取簡訊、通話記錄和聯繫人資訊 2. 更改或修改系統設置 3. 讀取當前的使用網路資訊、受害者手機的電話號碼和序列號、任何正在進行的通話的狀態、在設備上註冊的任何電話帳戶的列表 4. 讀取或寫入設備外部儲存上的檔案 5. 錄製聲音檔 6. 獲取連接的網路相關資訊 7. 獲取設備的位置 |
| 參考資訊: | TWCERT Cyble |