Mac 用戶注意 ! 趨勢科技提醒惡意程式偽裝股票交易軟體竊取個資

趨勢科技日前發現兩隻偽裝成 Mac 合法交易軟體 Stockfolio 的木馬，在螢幕上出現真實的股票交易介面，卻在背景執行惡意行為，竊取使用者個資。

隨著數位應用盛行，股票交易軟體可讓消費者在股票或期貨市場自行進行交易，不須打電話給券商，可節省額外費用。同時也引來網路犯罪者的注意，透過製作假交易軟體，竊取使用者名稱、IP 地址、螢幕截圖等個資。

趨勢科技最近發現 Mac 上偽裝成合法交易軟體 Stockfolio 的兩個惡意變種樣本。其中一個變種偽裝成正常軟體的假應用程式，包含多個惡意組件，其軟體套件名為「Stockfoli.app」，與正牌的應用程式「Stockfolio」 比較，名稱結尾少了 「o」 字母。

根據趨勢科技分析，第一個惡意變種樣本包含兩個腳本程式（偵測為Trojan.MacOS.GMERA.A），它會連結到遠端網站來解密其加密的程式碼。一旦Mac用戶下載並執行了Stockfoli.app，螢幕上會出現真實的股票交易介面，卻在背景執行惡意行為，收集使用者個資，並將所收集的資訊儲存到一個隱藏檔案：/tmp/.info，進一步將檔案傳送至遠端網址。當網址發出成功回應後，它會再將回應寫入另一個隱藏檔案中。

而第二個惡意變種樣本（偵測為Trojan.MacOS.GMERA.B），雖然只使用一個腳本程式以及更簡化的行為，但實際上還加入了持續性機制。該變種樣本在2019年6月已上傳至VirusTotal，其包含了帶有惡意軟體作者數位憑證的Stockfolio 1.4.13版本軟體，當軟體執行時也會用類似的作法掩飾其惡意行為。

趨勢科技在分析惡意軟體過程中，發現惡意軟體攻擊者會簡化行為並加入更多功能，推測攻擊者可能在尋找提高效率的方法，甚至會在將來增加躲避偵測機制。趨勢科技建議消費者只從官方來源下載應用程式，以減少下載到惡意應用程式的機會。