中國駭客在臺灣論壇散布假「Whoscall」破解版

中國駭客在臺灣論壇散布假「Whoscall」破解版，暗藏間諜軟體，該討論串已有10萬瀏覽次數

中國駭客組織EvilBamboo鎖定臺灣安卓用戶下手，假借提供破解版Whoscall名義，在Android台灣中文網（Apk.tw）的論壇散布間諜軟體。由於該討論串已有10萬次瀏覽，可能已有許多人受害而不自知

文/羅正漢 | 2023-09-23發表

                               
登錄/註冊後可看大圖

資安業者Volexity在9月22日揭露中國駭客組織EvilBamboo（或稱Evil Eye）鎖定行動裝置的多起攻擊行動，特別的是，當中特別提到一起鎖定臺灣民眾的攻擊事件，手法是聲稱分享「Whoscall来電辨識」破解版，並在臺灣的論壇上散布安卓間諜軟體BadBazaar，受到國內資安界的關注。

根據Volexity研究人員的說明，這些中國駭客從2023年1月17日開始，就在Android台灣中文網（Apk.tw）的論壇上，持續假藉提供Whoscall新破解版的名義，在貼文底部提供QR Code的下載連結，引誘國人下載他們提供的惡意APK安裝檔（其載點則是他們濫用了Google Drive、Dropbox的雲端硬碟服務），讓用戶將檔案下載到手機上安裝。而且每次發布新版本APK時，連結也會更新。也就是說，藉由這樣的方式，將Android間諜軟體BADBAZAAR散布到上當的我國民眾的手機上。

值得關注的是，我們從研究人員張貼的圖片可看出，其標題為【電話/簡訊/通訊]Whoscall来電辨識v7.43付破解版+版本自動更新】，該篇討論串的內容已有9.4萬次的瀏覽量，並有900多個回覆。今日（9月23日) 我們查看該篇文章，標題已變更為7.45版，瀏覽次數已破10.2萬。

                               
登錄/註冊後可看大圖

這樣的針對性攻擊，顯然是針對臺灣民眾而來，並且利用國人想要防詐騙安裝Whoscall，卻貪小便宜不想付費或不想受廣告干擾的心理。

另外，根據使用者的回應，此包含惡意的APK應該具備Whoscall的各項功能，而有可能讓使用者掉以輕心，沒有察覺手機已被植入惡意軟體。

Volexity指出，EvilBamboo是一個受中國政府支持的駭客組織，他們已追蹤這個駭客組織長達五年，主要鎖定西藏、維吾爾與臺灣的個人與組織，而這3者也就是中國共產黨（CCP）經常威脅的目標。

關於這次針對我國民眾的這隻安卓間諜軟體BadBazaar，Volexity說明，最早是資安業者Lookout在2022年發現，當時該惡意軟體鎖定的是維吾爾人。

這次Volexity研究相關樣本時，發現與Lookout之前的揭露沒有太多差異。其功能包含：可獲取簡訊、通話紀錄、設備資訊（IMEI、IMSI、時區、Wi-Fi詳細之廖）、拍照、聯絡人清單、已安裝的App、設備上儲存的文件與圖片，以及設備的位置。

不過，研究人員在最新版本發現EvilBamboo的新變種，具有允許EvilBamboo自動更新應用程式的附加功能，因為程式中多了judgeUpdateOrNot的函式。

                               
登錄/註冊後可看大圖

總體而言，Volexity這次揭露了EvilBamboo利用多種管道散布行動惡意程式。不只是有上述針對臺灣、利用論壇散布的方式，也有針對其他不同對象利用假網站與社交平臺，以及利用基於Telegram的方式。

此外，EvilBamboo至少使用3種不同的Android間諜軟體家族，包括：BADBAZAAR、BADSIGNAL和BADSOLAR，這些惡意程式均被插入到合法程式作為後門。

其中BADBAZAAR被用於攻擊的目標，包括西藏、維吾爾人，以及我國臺灣民眾，BADSIGNAL被用於攻擊西藏人士，BADSOLAR被用於攻擊維吾爾人士。

最後，Volexity提醒，EvilBamboo駭客組織散布這些行動惡意程式，都是利用用戶自己去安裝後門應用程式，突顯安裝App應從可信來源的重要性。還有一些假冒網站是專為特定族群量身打造的情況，也必須要注意。

而且，攻擊者引誘民眾安裝這些間諜程式成功之後，使得駭客得以收集大量有關個人的高度敏感資訊，這可能使受害民眾及其親近之人處於危險之中。

【補充更新】對此事件，推出Whoscall的Gogolook於晚間8時40分點表示，有鑒於國外資安廠商Volexity發布調查報告指出，海外駭客透過非法APK形式在論壇內上架盜版APP軟體，不慎下載後恐造成個人資料外洩的風險。隨著Whoscall成為民眾必載的防詐APP，Whoscall呼籲民眾若有安裝需求，請務必前往Google Play或APP Store下載，至少在這兩個平臺的資安審核下，幫助使用者可以獲得最基本的保障與風險過濾。同時，Whoscall團隊今（23）日早上已向警政署刑事局報案並進入調查階段，有關單位將會封鎖相關高風險網域，保護民眾安全。

https://www.ithome.com.tw/news/158928

點名本版，這到底是能用還是不能用？

之前就發現了很多根本都不能用，或者根本就不會更新@@

所以刪除了就好了嗎？有人能解釋一下嗎？

由 手機網頁 發佈

還好我都是買正版的一年也沒多少錢

以前程式會有善心版友分享乾淨無毒的
也有遇過夾帶木馬蠕蟲的
所以抓下來一律先丟virustotal檢查
確定沒問題才拿來用

身為免費仔還是要有點警覺心畢竟免費的最貴嘛....

由 手機網頁 發佈

我用了3天 發現耗電異常 有用的人自己看電池紀錄就知道  

以目前發現到的Whoscall阻擋電話軟體外，還會不會有其他軟體依舊重蹈覆轍這麼弄，真的下載安裝前要好好掃一下APK檔案了。
我認為畢竟我們使用免費破解版都是一定有風險，更何況我們什麼都不懂軟體的問題所在，所以還是大家不管下載什麼樣的軟體都要小心一點了。駭客很容易讓人弄的很不錯好用軟體，實際上都是植入木馬程式病毒，不過我還是建議付費支持正版軟體比較安全一點吧？

由 手機網頁 發佈

耗電佔用60% 一夜之間。大家保重！

由 手機網頁 發佈

應該不止是whoscall，剛剛用virustotal檢查版上分享的導航王包含3D 709版、TM版統統都列在紅色警戒內，上傳者也都是”匿名”