竊取OTP驗證碼新手法：駭客利用真實電話號碼進行簡訊轉發攻擊

by pumoadmin55 · 2025-02-11

隨著行動支付日益普及，手機已成為金融詐騙的首要目標。駭客透過攔截簡訊驗證碼（OTP）來盜用身分，使行動裝置面臨更高的資安風險。根據 Zimperium zLabs 資安研究團隊調查，印度銀行用戶近期遭受一波行動惡意程式攻擊，導致大量敏感的財務和個人資料外洩。

該研究團隊指出，這些銀行木馬程式主要攻擊印度的銀行和政府機構，駭客透過真實電話號碼攔截並轉發簡訊，造成敏感資料外洩。這起攻擊事件是由一個專門針對 Android 系統行動裝置的駭客組織所發動，研究人員將其命名為「FatBoyPanel」。

研究人員指出，此次「協同行動」利用超過一千個惡意 Android 應用程式，專門竊取財務和個人資料。這些惡意程式偽裝成正當的銀行和政府工具，並主要透過 WhatsApp 散布。受害者被誘騙提供身分證明文件、ATM 密碼和行動銀行帳號等敏感資訊。

有別於傳統惡意程式，此次攻擊採用了一種創新的OTP驗證碼竊取手法。Zimperium 研究人員觀察到，駭客除了使用指揮控制伺服器（C&C Server）外，還利用真實手機門號即時攔截和轉發簡訊。然而，這種手法會留下可追蹤的數位足跡，可能協助執法單位追查犯罪者。

根據研究團隊的分析，這次攻擊行動規模龐大。從惡意程式的共同程式碼、使用者介面和應用程式圖示可見，這是一起精心策劃的組織性攻擊。研究人員發現超過 222 個未受保護的 Firebase 雲端儲存空間，內含 2.5GB 的外洩資料，包括銀行帳戶資訊、信用卡資料、身分證明文件和簡訊內容，估計影響約 5 萬名受害者。

此惡意程式分為三種變種：簡訊轉發型、Firebase 資料外洩型，以及混合型。所有變種都能攔截和竊取簡訊內容（含驗證碼），以進行未經授權的交易。為了躲避偵測，惡意程式會隱藏圖示、防止解除安裝，並運用程式碼混淆和封裝技術。

駭客將固定電話號碼和 Firebase 端點寫入惡意程式中作為資料外洩管道。該平台的管理儀表板更設有「WhatsApp管理員」按鈕，顯示這是個多人協作環境，便於駭客集團成員間的溝通。

為了防範手機惡意程式攻擊，用戶可遵循以下安全原則，有效提升行動裝置安全性：