超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為

「Super Mario」應用程式: – ANDROIDOS_DOWGIN.AXMD,偽裝成Mario(瑪莉歐)遊戲,,聲稱需要進行更新才能繼續玩,並提示安裝另一個應用程式;冒牌「Super Mario」- ANDROIDOS_DOWGIN.AXMD: 彈出式廣告導引到成人或惡意網站,出現假安全警告,甚至要求管理員權限。

假應用程式搭上任天堂手機遊戲:Super Mario Run順風車

在今年初,我們討論過網路犯罪分子如何利用Pokemon Go的熱門程度來推出自己的惡意應用程式。隨著2016年的即將結束,我們看到相同的故事發生在任天堂手機遊戲上:Super Mario。

►《延伸閱讀》:抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥

 

獨佔遊戲Super Mario(超級瑪莉歐)一直是任天堂遊樂器的重要成員,自從80年代中期以來,在各個平台上出過多款遊戲。但是不管手機遊戲市場如何成長,任天堂都沒有在行動平台上推出任何Super Mario的遊戲。這一切在2016年9月出現轉變,任天堂宣佈在iOS和Android上推出Super Mario Run(超級瑪莉歐酷跑)。iOS版本於2016年12月15日推出,Android版本計畫在明年推出。

超過9,000個搭Mario名稱順風車的應用程式,大約有三分之二都帶有惡意行為

在正式推出前,網路犯罪分子已經推出了自己的Mario(瑪莉歐)相關應用程式。自2012年以來,趨勢科技在網路上發現超過9,000個使用Mario名稱的應用程式。大約有三分之二都帶有某些惡意行為,包括未經使用者同意就顯示廣告和下載應用程式。自年初以來,我們已經偵測這些惡意應用程式約9萬次,大部分下載者來自下列國家/地區:

圖1、偽裝成Mario(瑪莉歐)相關的惡意應用程式下載分佈(2016年1月到11月)

 

趨勢科技所發現的惡意應用程式大多數只顯示廣告。但有一些會安裝不需要的應用程式到使用者設備上。我們來看看其中兩個惡意應用程式。

一個應用程式是偵測為ANDROIDOS_DOWNLOADER.CBTJ的「Super Mario」。它透過第三方應用程式商店散布:

冒牌「Super Mario」-ANDROIDOS_DOWNLOADER.CBTJ:聲稱需要進行更新才能繼續玩,並提示使用者安裝另一個應用程式

 

圖2、假的「Super Mario」應用程式

當使用者嘗試執行此應用程式時並無法開始遊戲。它聲稱需要進行更新,並提示使用者安裝另一個應用程式:

 

圖3和4、下載「更新」;9Apps所需的權限

 

這新安裝的應用程式是「9Apps」,是第三方應用程式商店的應用程式。雖然這可能不是一個惡意應用程式,它仍然是將不需要的應用程式安裝在使用者的行動設備上。

 

冒牌「Super Mario ANDROIDOS_DOWGIN.AXMD: 彈出式廣告將導引到成人或惡意網站,出現假的安全警告,甚至會要求管理員權限。

但是,還有更多的惡意案例。我們發現另一個惡意Mario應用程式,趨勢科技偵測為ANDROIDOS_DOWGIN.AXMD。它也稱為「Super Mario」並來自第三方應用程式商店。

圖5、惡意應用程式要求的權限

 

 

安裝後啟動會顯示以下畫面。讓使用者玩模擬器版本的元祖Super Mario遊戲:

圖6、遊戲截圖

 

但它確實呈現出惡意和侵略性的活動。它在沒有任何使用者互動下建立不必要的圖示,顯示彈出和橫幅廣告,安裝其他應用程式並執行其他侵入性活動。

圖7、顯示彈出視窗和廣告

圖8、假的安全警告

圖9、橫幅廣告樣本

點擊這些廣告或圖示會將使用者帶到成人網站或惡意網站。最終都是要讓使用者安裝各種應用程式。雖然其中有些應用程式是合法的,有些則是第三方應用程式商店所發布的可疑應用程式,包括更惡意的應用程式,甚至會要求管理員權限。

 

解決方案

網路犯罪分子經常會利用熱門(或期待)的標題來推動自己的惡意應用程式,就如我們所看到的。趨勢科技強烈建議使用者避免到第三方應用程式商店下載軟體,尤其是當他們聲稱這是合法應用程式的「非官方」或「未公開」版本。首先,這些應用程式是非法的,對使用者的風險相當高。你可以在Android的安全設定中停用「允許從未知來源安裝應用程式」來保護你的行動設備,防止意外地從第三方應用程式商店或網站安裝。

要執行惡意活動(例如秘密安裝應用程式或隱藏使用者的圖示和程序)就必須將應用程式啟用為設備管理員。因此,當應用程式要求你將其啟用為設備管理員時就是一個警訊。檢查這是否為正在安裝的應用程式所必需。

圖10、要求管理員權限的惡意應用程式

 

使用者應該只安裝來自Google Play或受信任第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護個人版)來封鎖應用程式商店的威脅,避免其安裝進而危害設備或資料。

企業用戶可以考慮使用像趨勢科技行動安全防護企業版這樣的解決方案。這包含了設備管理、資料保護、應用程式管理、法規遵循管理、設定配置和其他功能,讓雇主可以在隱私安全性和彈性間取得平衡,並增加自帶裝置(BYOD)的生產力。

 

入侵指標

 

本篇文章中提到的惡意應用程式SHA1雜湊值如下:

  • 4ba312a6eaf79da9036d4228a43f19c611345a5a(偵測為AXMD)
  • 8373aedc9819ff5dacb0fc1864eeb96adc5210b2(偵測為CBTJ)

 

@原文出處:Fake Apps Take Advantage of Super Mario Run Release 作者:Jordan Pan(行動威脅分析師)