假防毒軟體從電腦移植到了 Android 平台

Google Play 商店上的假防毒軟體以及趨勢科技「行動裝置應用程式信譽評等服務」的動態分析如何為您提供防護

本部落格曾報導過新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台

手機個資外洩?可能是你兒子下載廣告軟體

2014 年才進入四月,Android 惡意程式就已爆炸性成長。Android 惡意及高風險的 App 程式已突破二百萬大關 (見圖一),離趨勢科技技術長之前所預測的三百萬大關已不遠。事實上,光是 2014 年前三個月,我們就在全球發現了 500,000 個新的 Android 惡意及高風險的 App 程式。就在我們不斷提升這類威脅的防護時,我們又見到另一種新的威脅從 PC 移植到了 Android 平台:一個名為 Virus Shield 的假防毒軟體 (FakeAV) 在 Google Play 商店現身。

 (圖一)

Virus Shield 於 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據我們的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。

我們對這款 App 程式做了進一步的分析來了解其運作。根據我們的分析顯示,該程式會在畫面上顯示一個打叉 (X) 的圖案,當使用者點一下之後就會變成打勾 (V) 圖案 (見圖二)。該程式在應用程式商店的說明當中運用了一些聰明的社交工程技巧,讓人以為它是一個合法的應用程式,因而才會購買及下載。其中一項就是它獲得了 4.7 顆星的驚人評價與 Google+ 社群的 2,500 次推薦。另一項因素是它宣稱為行動社群安全程式,而非一般的資訊安全軟體。根據 Google Play 商店 70/30 的拆帳原則,我們估計該程式的開發者在不到十天之內實收了大約 25,000 美元以上。該程式在 4 月 6 日已被 Google Play 下架。它仍在網路上流通,而且歹徒很可能會在其他網路商店上架,或者透過直接下載的方式販售 (這是美國以外地區最流行的攻擊手法)。

這類 App 程式突顯了趨勢科技「行動裝置應用程式信譽評等服務」一項全新功能對保護客戶安全的重要性。除了原有的靜態分析之外,行動裝置應用程式信譽評等服務現在更利用一套先進的動態分析環境來發現諸如此類的假應用程式。

  (圖二)

趨勢科技行動裝置應用程式信譽評等服務的動態分析會在一個沙盒 (Sandbox) 虛擬環境當中模擬一個行動裝置和作業系統來觀察行動 App 程式的實際行為 (見圖三)。此沙盒環境甚至可提供真正的 3G 和 GPS 訊號給行動 App 程式,盡可能貼近真實的情況。我們在這樣的沙盒當中分析 App 程式的實際行為,然後給予一個信譽評分。接著,再將信譽評分與我們的靜態分析結果整合,為您提供最可靠、最完整的信譽評等。

 (圖三)

由於趨勢科技行動裝置應用程式信譽評等服務是以雲端為基礎,因此全球任何產品或服務供應商都能透過一般網站服務經常用來提供 API 與第三方整合的 REST (表徵狀態傳輸) HTTP 通訊協定與它整合 (也就是所謂的 RESTful API)。如此,就能將我們先進的行動安全防護功能開放給各種產品或服務使用。其中也包含了一般消費者企業客戶所使用的趨勢科技「行動安全防護」。這正是為何趨勢科技的行動安全產品能在AV-Test 三月份的行動安全產品評測當中獲得最高分的原因。這也是趨勢科技行動安全防護產品連續第三次在 AV-Test 當中獲得最高分成績。

儘管目前 Android 上的假防毒軟體只會讓您損失購買的金額,但 Android 平台遲早會有更險惡的假防毒軟體威脅出現。隨著該平台的威脅越來越多、發展腳步越來越快,您不僅需要一套防護軟體,更需要一套能隨時因應威脅趨勢而演變的防護。趨勢科技「行動裝置應用程式信譽評等服務」的動態分析就是一種能因應威脅快速演變的技術,為您提供更優異的防護。

 

@原文來源:FakeAV in Google Play and how Trend Micro Mobile App Reputation Services Dynamic Analysis Helps Protect You