Android 除錯問題

 

趨勢科技最近發現,當應用程式在Android設備上執行時,Android的除錯功能可以被用來竊取資訊。透過一些步驟,可以在Android上建立一個應用程式來除錯另一個執行中的應用程式。這除錯用的應用程式將有機會獲得被除錯應用程式的所有資訊,所以要偷像帳號、密碼等東西都是輕而易舉。

這漏洞只出現在Android 2.3(薑餅人)或更早的版本上。今日所有正在販售的Android設備都使用更新的版本,薑餅人最後一次更新是在於二〇一一年九月。然而根據Google自己的統計數字顯示,超過一半使用中的Android設備仍然執行這些較舊版本的Android。

在某種程度上,這問題是整個Android生態系統問題的縮影。讓我們將這生態系統分成三個部分:應用程式開發者,Google和電信業者以及最終使用者。各部分可以做些什麼?

應用程式開發者: 該要考慮安全性,而不僅僅是功能和易於使用而已

在這特定案例裡,一個應用程式如果被設定為可除錯就會有這漏洞。一般來說,可除錯版本的應用程式不該對外發布。(大概有5%的熱門免費應用程式是可除錯的,所以風險不小。)

然而在一般情況下,行動應用程式的「最佳實作」可能並不像桌面應用程式那樣固定。行動應用程式開發者還是應該要考慮他們應用程式的安全性,而不僅僅是功能和易於使用而已。

Google/電信業者:Google在設計Android時應該考慮提供一種方式讓舊設備仍然可以取得安全更新,獨立於電信業者和製造商之外

正如我們上面所提到的,新版本的Android並沒有這個問題。但是Android有更新上的問題,許多運作正常設備的使用者將不會收到更新,也讓他們暴露在風險中。 繼續閱讀

人氣行動應用遊戲「Temple Run 2」出現 Android 山寨版,下載後強迫放送廣告

在 Apple App Store上發布不過幾天,山寨 Android 版 Temple Run 2 已經出現在某些網站上了。

在Apple App Store發表僅僅四天後就出現了廿萬次的下載,Temple Run 2在 Temple Run粉絲群和遊戲愛好者之間的確備受期待。這遊戲的Android版本原定在本週發表,但趨勢科技已經看到有些網站出現疑似 Android 版 Temple Run 2的販賣。

我們分析了一個號稱是 Temple Run 2的應用程式, 令使用者大失所望的是,這些應用程式都沒有執行真正的Temple Run遊戲。這被趨勢科技偵測為ANDROIDOS_FAKETEMPLRUN.A的應用程式會派送廣告給使用者。

 

山寨版Temple Run 2,下載後強迫放送廣告

 

趨勢科技還注意到有其他網站提供Temple Run  2。仔細查看一下其中一個網站上的描述,開發人員有對這應用程式做出聲明。雖然網站沒有出現任何惡意行為,利用Temple Run 2去誘騙使用者下載「桌布」應用程式(有些網站提供的是解謎應用程式等等)還是相當可疑。

雖然目前所看到的幾起事件都只會造成輕微的傷害。但隨著發表日期的接近,我們也可能會看到帶有更大破壞能力版本的出現。

高人氣可能帶來危險

這並不是第一次有可疑的開發者想要借用Temple Run受歡迎的程度了。甚至在它發表Android版本之前,趨勢科技就注意到有山寨版出現Android Market上,而Google也馬上將其刪除。其他高人氣的行動應用程式,像是Instagram憤怒鳥Farm Frenzy在過去也都出現過山寨版。

在我們的二〇一三年資安威脅 繼續閱讀

行動用戶很可能會比一般電腦使用者遭網路釣魚(Phishing)攻擊高出三倍

手機可以用來做任何事情,而且效能就跟一般電腦一樣強大~病毒也是 如此

 作者:Jonathan Leopando

使用者很容易就會認為行動設備是種可以隨拿隨用的簡易設備,並不會造成安全風險。—沒有什麼比這更錯的了。今日的行動設備就跟一般電腦一樣,所有該有的功能都有。

在上個月,喬治亞理工學院研究發現,因為使用者介面的關係,行動瀏覽器所提供的資訊往往並不足以讓使用者判斷網站是否有潛在的危險。

其中最有問題的是在顯示SSL資訊方面。和一般電腦相比,行動瀏覽器在顯示網站是否在使用SSL時非常受限。雖然會有基本鎖頭符號來表示是否正在使用SSL,但其他進階資訊則可能無法立即顯示。比方說,桌面瀏覽器會強調憑證單位好讓使用者進一步的驗證,但這在行動瀏覽器上並非總是立即出現。

 行動用戶很可能會比一般電腦使用者更容易遭網路釣魚(Phishing攻擊

 原因很簡單:使用者界面限制。行動設備上的空間和一般電腦相較起來是有限得多。而且行動使用者介面也往往會設計得特別簡潔。這會限制使用者可以在瀏覽器得到用來判斷網站是真是假的資訊數量 。

這或許也可以解釋為什麼有研究顯示行動用戶很可能會比一般電腦使用者更容易成為網路釣魚(Phishing)攻擊的犧牲者。然而,並不只是技術上的原因,使用者的態度可能才是主因。

  CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄),網路釣魚郵件送出後,行動用戶通常是第一個連上的
CNN 報導指出:Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄),網路釣魚郵件送出後,行動用戶通常是第一個連上的網站的設備

 

根據這篇報導指出在一月,Trusteer分析了多個曾經代管網路釣魚(Phishing)網站日誌檔(存取記錄)。記錄顯示有多少使用者連上這些惡意網站,他們是什麼時候連上的,他們是否輸入自己的帳戶登錄資料,以及用來連上網站的設備。

以下是Trusteer的發現:

一、網路釣魚郵件送出後,行動用戶通常是第一個連上的。

「這是有道理的,因為行動用戶總是保持在連線狀態,也最有可能在郵件送達時於第一時間閱讀。桌上電腦使用者只有在使用電腦時才會看信。」Trusteer的執行長Mickey Boodaei如此說。

「此外,多數詐騙電子郵件都要求立即採取行動。比方說,他們通常會聲稱在使用者帳號偵測到可疑活動,並且需要立刻採取行動。多數落入陷阱的受害者會很快地去連上釣魚網站。」

這很重要,因為網路服務供應商和主機代管廠商會監視他們網路上的釣魚活動,並快速採取行動以封鎖網路釣魚網站。

網路安全專家警告說:網路釣魚郵件攻擊裡最陰險的一種就是,假警告郵件可能會說該公司要通知你關於最近所公佈的一起安全攻擊事件 – 這恰恰也是他們所犯下的「完美掩護。」

二、行動用戶輸入登錄資料的機率比桌面電腦使用者高出三倍以上。

好消息是,大多數人(不管是不是行動用戶)連上釣魚網站時都不會輸入任何登錄資料。但是,對於那些有輸入的族群來說,行動用戶顯然更容易落入網路釣魚(Phishing)的陷阱。

三、iPhone使用者連上釣魚網站的數量是黑莓機使用者的八倍以上。

根據ComScore的最新數據顯示,在美國市場,黑莓機仍然有比iPhone更多的機子正在使用中。根據Boodaei,「在黑莓機和iPhone上都一樣很難注意到網路釣魚(Phishing)。」

那麼是什麼造成這差距呢?Boodaei推測,許多黑莓機使用者是企業用戶,是由雇主所配發黑莓機,所以至少都有經過一些安全訓練。相反地,絕大部分的iPhone都屬於消費者的行動設備。 繼續閱讀

十大駭客最愛網釣誘餌,淘寶、花旗銀行、萬事達卡、Paypal 皆入榜

最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行

簡單方便是使用者喜愛網路購物的主要原因,雖然方便,但網路購物也可能讓使用者的認證資料和個人身份資料(PII)陷入危險,因為網路犯罪分子可以輕易地設計出網路釣魚(Phishing)攻擊來竊取資料。

來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍
<最常被攻擊的網路釣魚(知名銀行/信用卡公司/網路購物/拍賣)網站排行>來自中國的淘宝网在購物網站中排名第一而Paypal 則居網路交易平台冠軍

趨勢科技主動式雲端截毒服務  Smart Protection Network和其他專門技術,我們辨識出二〇一二年十二月的首要網路釣魚(Phishing)網站。下面是針對五十個流行品牌的偽造網站圖表。

 

五十個流行品牌的網路釣魚偽造網站表
五十個流行品牌的網路釣魚偽造網站表。

 

最常被網路釣客攻擊的電子商務網站(知名銀行/信用卡公司) 排行前 10名

根據我們所收集的資訊,電子商務網站 – PayPal是最被針對的公司,有17,573個偽造網站利用它的名字,緊接在後的是美國富國銀行(Wells Fargo)。使用者如果被誘騙連上偽PayPal網站,就可能讓系統感染TROJ_QHOST.EQ。到目前為止,這惡意軟體已經感染了台灣、泰國和美國的系統。正如下表所示,排名前十位的詐騙網站差不多都是知名銀行或信用卡公司。

 

公司名稱/網站 釣魚網站數量
PayPal 18947
富國銀行(Wells Fargo) 2049
Visa 1661
花旗銀行 1628
美國銀行(Bank of America) 1477
萬事達卡 986
Chase 656
Bancolombia 369
Natwest 324
Cielo 310

花旗銀行也是最常被偽造的公司之一,可能是因為黑洞漏洞攻擊包(BHEK)攻擊活動的原因。BHEK最被為人所知的就是會利用有名的公司(如花旗銀行)來引誘使用者打開垃圾郵件,然後點入郵件內夾帶的惡意連結。

某些BHEK攻擊活動會偽裝成花旗銀行來誘騙使用者下載WORM_CRIDEX.CTS,這是一個已知會竊取敏感資料的惡意軟體(如網路銀行憑證)。透過趨勢科技主動式雲端截毒服務  Smart Protection Network,我們確認有277個系統感染這惡意軟體,其中有88%位在美國。

此外,單單在十二月,我們就發現有四個BHEK攻擊活動利用花旗銀行。在最後一次的攻擊活動中,我們發現使用者電腦感染了TROJ_CDOWN.A、SWF_BLACOLE.BBB、JAVA_DLOADR.XM和WORM_CRIDEX.EZ。被偵測為JAVA_DLOADR.XM的JAR檔案出現3,095次,主要受影響使用者位在美國和日本。

公司名稱/網站 釣魚網站數量
AOL 1475
Yahoo 1349
Hotmail 1205
Gmail 1200
其他 188

網路釣魚(Phishing網站數量最多的購物/拍賣網站是淘寶網

另一方面,網路釣魚(Phishing)網站數量最多的購物/拍賣/交易網站最多的是淘寶網、eBay和Amazon。來自中國的淘寶網在電子商務網站列為最常被偽造成釣魚網頁的第一名。

公司名稱/網站 釣魚網站數量
淘寶網 1691
eBay 504
Amazon.com 251

在我們的研究中,我們也發現下列攻擊會影響世界各地的行動用戶。

  • 我們看到偽裝成丹麥電子支付公司 – Nets Group的攻擊正在增加中。這威脅通常透過電子郵件,要求使用者確認更新或啟動帳號。
  • 針對日本使用者的萬事達卡網路釣魚攻擊活動正在進行中。在986個偽萬事達卡網站中,有717(72%)個是為日本使用者而設計。在十二月,這717個網站吸引了2,029次點擊量,大多來自日本。

針對日本用戶的信用卡釣魚網站

針對日本用戶的信用卡釣魚網站  
  • 特定惡意集團偽造出902個REMAX網站(一個跨國房地產公司)。
  • 在世界的另一端,巴西仍然充斥著內藏木馬的偽造網站,通常是TROJ_BANLOAD變種,最為人所知的行為是會下載TSPY_BANKER變種。這種攻擊通常透過偽稱來自布拉德斯科銀行、巴西銀行等的電子郵件出現。電子郵件還會夾帶連往惡意網站的短網址,通常來自像bit.ly的短網址服務。位在哥倫比亞的使用者也被被趨勢科技偵測為TSPY_BANKER.TGF的惡意銀行木馬軟體所攻擊。這個惡意軟體利用微軟Excel圖示,並且以免費禮物卡為餌來誘騙使用者執行惡意執行檔案。
  • 不幸的,行動用戶也不能免於這些網路威脅。下面是個使用者必須特別小心偽PayPal行動網站的例子。因為行動用戶通常不會看到整個網址,所以會讓使用者輕易地認為自己瀏覽的是正常網站。

 

PayPal 真假網站比較(右邊是真的,左邊是釣魚網站)
PayPal 真假網站比較(右邊是真的,左邊是釣魚網站)

 

  • 我們還發現一個帶有附加檔案的垃圾郵件針對大通銀行。趨勢科技將這附加檔案偵測為TROJ_DLOADER.YZX。一旦被執行,這惡意軟體會下載大量其他惡意軟體,如TSPY_ZBOT.MDN、TSPY_ZBOT.LOA和TROJ_FAKE.BMC。

如果我們可以從這些威脅趨勢中學到什麼,那就是我們必須保持小心謹慎,防範網路釣魚攻擊,特別是在假節期間或有其他特殊事件時。想知道如何在這些網路購物的日子裡保護自己,可以參考我們的電子指南 – 「網路購物更簡單」和「享受無憂無慮的行動購物體驗!」還有我們的資料圖表 – 「網路購物小秘訣」。

想知道如何區分偽造的網路釣魚(Phishing)跟正常郵件,就要檢查下列蛛絲馬跡:

繼續閱讀

假Java零時差漏洞修補程式,真勒索軟體

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者:確保從可靠的來源下載,不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞(CVE-2012-3174)的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而,趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11,這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案,其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe(這兩個檔案都被偵測為BKDR_ANDROM.NTW)。一旦執行,這個後門程式會連到遠端伺服器,讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

 

勒索軟體偽裝成Java零時差漏洞修補程式
勒索軟體偽裝成Java零時差漏洞修補程式

 

JAVA_DLOADER.NTW 會下載並執行Up1.exe(BKDR_ANDROM.NTW)和Up2.exe(TSPY_KEYLOG.NTW)。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV%User Temp%\{random file name}.exe。經過趨勢科技的分析,這個勒索軟體 Ransomware會鎖定使用者螢幕,並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀