Photo by Piotr Makowski on Unsplash

行動資安業者Zimperium本周發布了《行動銀行搶劫報告》（Mobile Banking Heists Report），指出銀行木馬程式正在不斷地進化，這一年來總計有29個惡意程式家族、鎖定全球61個國家的1,800個銀行行動程式發動攻擊，最大的受害者是美國，有109家銀行成為駭客目標，隨後則是英國的48家銀行與義大利的44家銀行。

這些銀行木馬程式通常偽裝成合法程式以吸引使用者下載，但它們其實含有惡意程式，意在滲透安裝在使用者手機上的銀行程式，以竊取這些銀行程式的憑證、金融資訊或是個人身分資訊，有些則能執行未經授權的轉帳。

Zimperium去年的調查僅發現有10個惡意程式家族、鎖定600個銀行程式發動攻擊，但今年不管是惡意程式家族或攻擊目標的數量都顯著地增加了。Zimperium分析，駭客擴大投資以改善銀行木馬程式的能力，使其能夠繞過安全機制、逃過行動裝置上的偵測，還能長駐，而傳統安全實踐則未能跟上駭客的腳步。此外，去年駭客的攻擊對象以銀行及支付程式為主，今年則擴大至加密貨幣、社交及傳訊程式，但傳統銀行仍占了61%。

今年的前五大惡意程式家族依序是Hook、Godfather、Teabot、Xenomorph與Exobot，它們分別針對618家、419家、414家、400家與371家銀行發動攻擊。最受到駭客青睞的金融程式包括Caixa、Intesa Sanpaolo Mobile、Bankinter Mobile、YouApp Banco BPM Mobile、Capital One Mobile、EVO Banco móvil、Kutxabank、Bank of America與Wells Fargo，至少都有超過10個惡意程式家族鎖定它們。

此外，近年來駭客已逐漸將惡意程式發展成一個產業，建立看似合法的公司來提供惡意軟體即服務（Malware-as-a-Service，MaaS），讓更多缺乏開發專長的人得以進入此一市場。

另一項值得注意的是，駭客已發展出自動轉帳技術，在成功取得受害者的銀行憑證後，會先檢查使用者的帳戶餘額以決定轉帳金額，並伺機執行轉帳，接著欺騙使用者輸入轉帳所需的一次性密碼，並將帳款轉至駭客所控制的帳戶，之後還可能會刪除交易提醒或應用程式通知以避免被察覺。

Zimperium建議金融業者應該要提高程式碼的保護技術，直至其攻擊成本高過駭客不法所得，也應提高運行能見度以全面監控威脅行為，或是部署裝置上的保護機制來回應即時威脅。