Google 發現 Tizi 惡意程式竊取熱門社交 App 資料，災情集中在非洲

Google 於其資安部落格發表警告，提到他們偵測到稱為 Tizi 的資安後門，攻擊者會藉此取得裝置的 Root 權限，並竊取使用者於熱門社交 App 的機密資料，由於這些遭篡改的 App 大多藉由第三方市集流傳，因此 Google 也建議使用者盡量透過 Google Play 取得 App。

多款熱門社交 App 遭毒手

根據 Google 提供的資料，Tizi 是個 Android 裝置上的後門，它不但具有完整功能，還會主動於裝置上安裝惡意程式，並竊取使用者的機密資料。

Google Play Protect 的資安團隊於 2017 年 9 月在掃瞄具有能力將裝置 Root 的 App 過程，發現了 Tizi 家族惡意程式，並在持續追蹤後發現最早的成員出現於 2015 年 10 月，Tizi 的開發者甚至還設立網站或是透過社群媒體，鼓勵使用者從 Google Play 或是第三方市集、網站安裝更多 App。

起初資安團隊只將這些惡意程式歸類為間諜程式或是具有後門的潛在有害 App（Potentially HarmfulApp，PHA），並沒有將他們關聯為同一個家族，早期許多 Tizi 的變種也沒有 Root 的能力，但是後期的變種則能取得 Root 權限。

當 Tizi 入侵裝置並取得 Root 權限之後，它就會透過簡訊連繫 C&C 伺服器（Command-and-Control Servers，指攻擊者遙控木馬程式的伺器），並回傳裝置的 GPS 座標，接著 C&C 伺服器就會透過一般 HTTPS 協定傳送指令，少數變種則會透過 MQTT（Message Queue Telemetry Transport）協定傳送。

Tizi 與許多常見的間諜程式一樣，具有側錄、竊取裝置上資料的能力，它能夠側錄 WhatsApp、Viber、Skype 通話，以及接收、發送簡訊，還有存取行事曆、通話紀錄、通訊錄、照片、Wi-Fi 無線網路金鑰、已安裝 App 清單等功能，此外 Tizi 甚至能夠偷偷錄音，以及在螢幕沒有顯示畫面的情況下拍照。

由於 Tizi 用來執行 Root 的漏洞大多比較老舊，所以只有比較舊的裝置以及 Android 版本會受到影響，所有的漏洞已在 2016 年 4 月或之前發布的安全性更新後修正，所以只要安裝相關更新檔後就不會遭到 Tizi 攻擊。

然而如果漏洞都已修正，Tizi 仍然會詢問使用者是否給予存取簡訊、發送簡訊等權限，並嘗試執行相關動作。

▲ Tizi 會透過社群媒體誘導使用者安裝受感染的 App。

▲ Tizi 的災情分布，主要集中於肯亞（藍色）、奈及利亞（橘色）、坦尚尼亞（黃色）等非洲國家。（Source：Google）

安裝 App 時請詳閱權限要求

為了確保 Android 使用者的安全，Google Play Protect 會關閉裝置上受感染的 App，並通知所有受影響裝置的使用者，而相關開發者的 Google Play 帳號也已被停權。資安團隊也在這次事件後，更新了裝置上的資安服務以及尋找潛在有害 App 的系統，以提升 Android 生態圈的安全性。

此外，Google 也對使用者提出 5 點建議，來避免受到其他資安威脅的侵害。首先最重要的就是在安裝 App 時，需仔細查閱 App 是否提出不合理的權限需求，例如手電筒 App 要求存取簡訊就很不尋常。

接下來就是啟用安全鎖定螢幕功能，透過 PIN、圖型密碼保護裝置不被外人操作，此外保持裝置更新、啟用 Google Play Protect 也都能修補漏洞以及避免資安威脅進入裝置。

最後 Google 也建議大家開啟定位功能，因為上述層層保護並不能防止你遺失手機，所以開啟定位有助於找回遺失的手機。