Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心， Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒，恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長，趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service，簡稱 MARS) 截至 2016 年 8 月為止，已偵測到 1,660 萬個行動惡意程式，較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊，尤其，某個稱為「DressCode」的家族從四月份起便一直暗中持續散布，直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A，並且至少發現了 3,000 個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集，在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分，因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件，到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅，該公司也已採取適當行動，將受感染的應用程式下架。

圖 1：根據 Google Play 上的資料，該程式的安裝數量在 100,000 至 500,000 之間。

圖 2：惡意程式碼內部結構。

DressCode 木馬化應用程式可能帶來哪些威脅

木馬化應用程式一旦進入裝置，DressCode 就會連線至幕後操縱 (C&C) 伺服器。在舊版的惡意程式中，作者將 C&C 伺服器的 IP 位址寫死在程式當中，但現在已經將 IP 位址改成網域名稱。它會透過某個背景服務建立一個 TCP 連線至 C&C 伺服器，並發送一個「HELLO」問候訊息來向伺服器註冊。接著，C&C 伺服器會回覆一道指令：「CREATE, <Attacker IP>, <Port>」給裝置，由裝置建立一個連線到駭客端。如此，裝置就能經由 SOCKS 通訊協定來接收駭客的指令。

此外，受感染的裝置還可當成代理器 (Proxy) 讓駭客透過裝置入侵裝置所在網路上的伺服器，等於開啟了一條通訊管道。由於行動裝置是位於路由器後方，因此須由裝置主動建立 TCP 連線至 C&C 伺服器，然後再另外建立一個 TCP 連線至駭客。當 SOCKS 代理器這條管道建立起來之後，就能將駭客的命令轉發到區域網路 (LAN) 當中的其他伺服器。如此一來駭客就能連上伺服器，即使是路由器後方的內部伺服器也能辦到。

圖 3：從 C&C 伺服器接收命令。

圖 4：在駭客與內部伺服器之間架設 SOCKS 代理器來轉發通訊流量。

受駭裝置成攻擊所在網路環境跳板, 實施個人自備裝置 (BYOD)的企業風險增高

這條通用的通訊管道可提供多重用途，因此不但裝置的使用者、就連裝置所連上的網路也都暴露在風險當中。

經由這個惡意程式，駭客就能入侵使用者所在的網路環境。若遭感染的裝置連上企業網路，駭客就能越過 NAT 裝置攻擊內部伺服器，或竊取敏感資料，將受感染的裝置當成跳板。
隨著越來越多企業實施個人自備裝置 (BYOD) 計畫，企業將更容易因為員工毫無節制的行動裝置使用習慣而暴露於風險。根據趨勢科技的資料，82% 的企業都已實施 BYOD 計畫或允許員工在工作上使用個人裝置。儘管這類計畫可提高員工生產力，但卻也讓企業暴露在 DressCode 這類惡意程式的危險。

圖 5：受感染的行動裝置能讓駭客越過 NAT 裝置攻擊內部伺服器。

受駭裝置會變成一個個殭屍電腦，集合許多裝置就能發動DDoS和散發垃圾郵件
惡意程式會在裝置上安裝一個 SOCKS 代理器，建立一個通用的通訊管道來掌控並下命令給裝置。這等於將裝置變成一個個殭屍電腦，集合許多裝置就能形成可用於各種攻擊的「Botnet傀儡殭屍網路」，如：分散式阻斷服務攻擊 (DDoS)和垃圾郵件(SPAM)散發行動

圖 6：大型殭屍網路可針對企業機構發動強大的 DDoS 攻擊。

受感染的行動裝置可連上家用網路上的其他裝置, 駭客可取得視訊並加以錄影

此外，受感染的行動裝置還可被用於連上家用網路上的其他裝置。當家用路由器的密碼強度不足時，駭客就可輕易查出網路上其他裝置的 IP 位址，進而加以掌控。例如，家用路由器所連接的 IP 攝影機就很可能遭到掌控，進而讓使用者陷入隱私外洩的危險，駭客可取得視訊並加以錄影。

圖 7：IP 攝影機之類的裝置遭駭客入侵已成為一項隱私權隱憂。

五招防範手機病毒

雖然 DressCode 的感染方式和行為並不特殊，但遭其木馬化的應用程式在正派應用程式商店上的數量相當驚人。為了因應日益嚴重的威脅，以下是一些防範惡意程式感染您裝置的安全祕訣：

檢查您的應用程式。在您下載一個新的應用程式之前，請確認它來自正派的應用程式商店。查看網路上和下載頁面上的評價，並且先做一番功課來確認它不是惡意應用程式。
定期更新。請務必更新您的作業系統，安裝最新的修補程式可確定新發現的漏洞皆已修補。
了解裝置解鎖 (root) 的風險。解鎖裝置會移除裝置廠商所設置的安全限制與保護，這會使得系統更容易遭到惡意程式和其他惡意程式碼攻擊。
避免連上無安全性的 Wi-Fi。如此可以降低駭客暗中連上您手機的風險。此外，請務必關閉裝置自動連上可用 Wi-Fi 網路的設定。
使用虛擬私人網路 (VPN)。若您必須連上公共 Wi-Fi 網路，請務必使用 VPN 來保護您的網際網路連線，將您收發的資料加密。

此外，使用者也應採用一套多層式行動安全防護解決方案來保護自己。這套產品可提供惡意程式攔截功能，防止應用程式商店上的惡意程式安裝到您的裝置，避免您的裝置和資料受到損害。此外，企業也應投資一套優良的行動裝置管理解決方案。趨勢 Safe Mobile Workforce™ 可提供虛擬化行動基礎架構，讓企業資料安全地儲存在企業伺服器上，與個人應用程式及資料分離。

趨勢科技在美國、法國、以色列、烏克蘭等地皆已發現感染企業使用者的樣本，而且在其他國家偵測到的更多。趨勢科技 Mobile Security for Enterprise (行動安全防護企業版)，即可協助企業成功防範這類威脅。這套解決方案內含裝置管理、資料防護、應用程式管理、遵規管理、組態配置以及其他功能，讓員工在隱私與安全，以及 BYOD 計畫所帶來的彈性與額外生產力之間取得平衡。

以下是 ANDROIDOS_SOCKSBOT.A 相關檔案的 SHA1 雜湊碼：

2ae29110c34efea0dedfa4d7d48055c4b8deaaa2
• 997d7978eb825111f62b6dfd00e26d952adac8c0
• cc2ebbcab305ffd52b18df7d61b35abd6abf7681
• 3c0182486e701d7d85641c6dc5ef1be79dcaa151
• 66824215afa64ea28a1956ad9be635c8a65b425a
• b48814f4c9e91a55d2b5b51313180ba105112022
• 12be3c11b3006ece729a49718384b135bff0aacd
• 3eeba05a2c15442422a70c67abaeb90062ac531d
• 5a2189ba300076f8370945ef854ddc7de1eb437c
• c36e87c2462ff4480a66a034646c220f76307379
• 6047d7271af3f629595e92a5e43722da19eee5ac
• 9de174e5883dc4ff34f10e5cb071775552a3caf2

2016 年 9 月 29 日上午 08:50 (UTC-7) 更新

更新 TCP 連線相關細節。

2016 年 10 月 4 日上午 01:02 (UTC-7) 更新

更新趨勢科技在發布前預先通知 Google Play 商店以及 Google Play 因應措施的相關資訊。
原文出處：DressCode and its Potential Impact for Enterprises 作者：Echo Duan (行動裝置威脅回應工程師)

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外，更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能，跨平台跨裝置全面保護消費者遠離威脅！！即刻免費下載