資安業者Check Point本周揭露了駭客攻陷企業行動裝置的新招術：直接入侵企業的行動裝置管理（Mobile Device Manager，MDM）伺服器，再藉由伺服器的自動部署功能於大量的行動裝置上植入Android惡意程式，造成該企業75%以上的行動裝置都受到感染。

研究人員指出，他們是在今年2月偵測到企業有大量的行動裝置被安裝了惡意程式，由於惡意程式是在很短的時間內被安裝在大量的裝置上，於是他們揣測若非是惡意程式具備橫式移動的能力，就是MDM伺服器就入侵了，結果答案是後者。

駭客所使用的是金融木馬程式Cerberus的變種，但功能更為強大，它不只能紀錄裝置上的所有輸入、竊取Google Authenticator資料、接收任何的簡訊，還能透過TeamViewer自遠端對裝置下命令。

變種Cerberus還會自俄羅斯的C&C伺服器下載惡意模組，除了可蒐集通訊錄與簡訊之外，還能寄送簡訊，打電話或傳送USSD請求。

該惡意程式也利用多種技術來維持其長駐能力，例如賦予自己管理權限、複雜化反安裝程序、一旦察覺使用者企圖移除它就會自動關閉App Detail，而且它利用了無障礙服務，得以關閉Google Play Protect，以避免遭到偵測及移除。

受駭企業除了重設所有憑證之外，最後只得把所有的行動裝置都回復到出廠預設值，以確保裝置上不再存留惡意程式。

研究人員指出，這是他們第一次看到駭客利用MDM伺服器來散布惡意程式，MDM是整個行動網路的中央控制中心，只要被入侵，受害的就是整個網路，此事突顯了管理行動裝置與保護行動裝置是兩件事，行動裝置的管理代表一次安裝、配置及部署政策到不同的裝置上，而保護行動裝置則是避免它們遭到惡意程式的威脅與攻擊。