手機病毒/手機平板行動安全 - 資安趨勢部落格

【虛擬貨幣】行動裝置遭挖礦劫持,恐導致設備損耗加劇、電池壽命縮短、效能降低

2018 年 05 月 22 日2018 年 05 月 07 日趨勢科技 TrendMicro

跟任何銀行機構都沒有連結也無法追蹤的數位虛擬貨幣對駭客來說具有難以抗拒的吸引力。除了合法的使用和挖礦之外，網路犯罪分子也在利用虛擬貨幣。

趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力，會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。詳情請看:新的Android挖礦程式,這回要榨乾你的手機電力

在2017年秋季，趨勢科技在Google Play商店中發現數個惡意虛擬貨幣挖礦應用程式。這些應用程式會利用受害者行動裝置的運算能力挖礦來幫駭客賺錢。下文讓我們先了解虛擬貨幣如何造就今日的威脅環境?

虛擬貨幣的匿名性讓駭客如虎添翼

儘管許多人認為2017是虛擬貨幣踏入主流的一年，但其實有人已經使用比特幣或其他虛擬貨幣好些年了，這是區塊鏈概念背後的主要推動力。

基本來說，虛擬貨幣可以說是一種數位或電子貨幣。但虛擬貨幣與其他數位交易間的主要區別是是比特幣等貨幣不需要中央銀行或金融服務商的驗證或支持。

「相對地，它使用加密技術來確認交易，在名為區塊鏈的公開分散式帳本上進行交易，從而實現直接的點對點支付，」Motley Fool的撰稿人Adam Levy寫道。

虛擬貨幣為良善使用者帶來許多好處，包括簡化數位交易和強化隱私。但這些優點也同樣地吸引了惡意使用者。比特幣和其他虛擬貨幣對他們來說是能幫助惡意攻擊（如勒索病毒 Ransomware (勒索軟體/綁架病毒)）的理想元素。虛擬貨幣強調隱私這事實也讓受害者付錢後無法追踪惡意攻擊者 – 正是網路犯罪分子利用它的原因。

正如阿爾斯特大學網路安全教授Kevin Curran博士對衛報撰稿人Simon Usborne所說，虛擬貨幣所能提供的匿名性是駭客之前一直苦於無法達成的能力。

Curran表示：「以前的駭客可能會要求透過西聯匯款或銀行帳戶來付錢，但這些交易只要監管當局介入就能夠追蹤。」繼續閱讀

【手機病毒警訊】新一波Android間諜程式, 不只訊息看光光還竊取銀行帳密！

2018 年 04 月 25 日2018 年 09 月 25 日趨勢科技 TrendMicro

趨勢科技近期偵測到一波新網路攻擊，Android(安卓)惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定（DNS）進行散播，推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式，並喬裝成 Facebook 或 Chrome 等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料，不法人士瞄準了台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。

XLoader喬裝成Facebook或Chrome等正常應用程式，進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料

XLoader既是間諜程式，也是銀行木馬程式，一旦受害者裝置遭到感染之後，XLoader 除了可以掌握到所有應用程式的相關資訊、推播訊息，還能偷看簡訊、暗中錄下語音通話。更令人擔心的是，其會建立一個臨時的網站伺服器以進行網路釣魚來騙取受害者的個人資料，為使受害者不易察覺，這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言，包含中文、日文、韓文、英文等。它的惡意行徑眾多,以下列出部分:

發送簡訊
偷看簡訊
暗中錄下通話
啟用或停用 Wi-Fi 連線
蒐集裝置上的所有聯絡人資料
將裝置鈴聲模式設成靜音
取得詳細的手機連線狀態，包括使用中的網路和 Wi-Fi (不論是否有密碼)
強迫裝置回到主畫面
連上指定的網路
模擬某個撥號音
撥打指定電話號碼
取得裝置上所有應用程式的清單

趨勢科技提醒一般消費者，XLoader會利用系統管理權限來隱藏自己，並在暗中執行惡意指令，因此受害者幾乎不易察覺，呼籲使用者應養成正確的資安習慣，例如設定高強度密碼、定期更新及修補路由器韌體、啟用路由器內建防火牆、定期檢查路由器設定等方式來防範家用或企業路由器漏洞的威脅。也建議系統管理員和資安人員應妥善設定路由器組態來防範DNS快取汙染這類的攻擊。

此攻擊會先入侵路由器然後竄改 DNS 設定，進而將受害者導向駭客指定的網域。接著受害者會收到緊急通知，引誘受害者去惡意網域下載 XLoader。

採用多層式防護保護手機行動裝置資料與隱私

跨平台防護的PC-cillin 也同步支援 Android與 iOS行動裝置防護，可攔截上述相關惡意應用程式。除此之外，其多層式的防護也能守護裝置的資料與隱私，並且防範勒索病毒、詐騙網站以及身分盜用，有助於保障使用者安全。

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位
》即刻免費下載試用

更多關於此事件的訊息請參考

手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話、看簡訊、暗中錄音,還會竊取銀行帳密

2018 年 04 月 25 日2018 年 04 月 25 日趨勢科技 TrendMicro

新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊，並且會安裝更多應用程式。此外，XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時，就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容，甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺，這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言，包含中文、日文、韓文、英文等。

不僅如此，XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 。它的惡意行徑包含: 發送簡訊、啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態，包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。

Android 間諜程式與銀行木馬程式 XLoader 經由竄改 DNS 的手法散布

趨勢科技從三月初開始便偵測到一波新的網路攻擊，現在，這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器)，進而散布及安裝惡意的 Android 應用程式，趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。

此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊，並且會安裝更多應用程式。此外，XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己，讓自己一直躲藏在裝置內。

圖 1：假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。 繼續閱讀

你下班了「礦工」還再加班 ! 挖礦劫持鎖定追劇族、手機血拚族、咖啡館久坐族

2018 年 04 月 23 日2018 年 05 月 02 日趨勢科技 TrendMicro

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 Wi–Fi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

五一勞動節將至,提醒三種族群:追劇族、手機血拚族、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金，除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

你放假它加班挖礦 24 小時不關機礦工忙到「火大」了

挖礦惡意程式最早出現於 2011 年中期，相較於當時最流行的蠕蟲、後門程式等惡意程式來說，只能算是個配角，但目前已演變成甚至比網路間諜活動還要賺錢的途徑，一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化：只要是有錢賺的地方，歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

去年9月新北市三重一處公寓傳出火警，警消獲報到場後發現，屋內是「比特幣礦場」，至少有15台電腦的機房，疑因二十四小時不斷電挖礦，意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

挖礦劫持出沒,三族群,請迴避!

提醒以下在假日經常從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

【追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?
挖礦程式偏好嵌入在使用者可能會停留大量時間的地方，比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。想趁五一勞動節,追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
前陣子有用戶反應在看 Youtube 的時候，電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時，你的電腦或手機也默默的成為了不法駭客的「礦工」，幫他挖礦賺外快!據AdGuard研究人員所發表的報告，有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動，這種做法被稱為“挖礦劫持（cryptojacking）”。今年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。我們發現，這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間，有更多時間挖掘加密虛擬貨幣。
【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN)，遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客，使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出，這些惡意廣告所在網站皆名列全球 15,000 大網站，意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。

【不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持（Cryptojacking）?
跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過，透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣，連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。
詳請請看:挖礦劫持（Cryptojacking）幫星巴克加料,顧客上網筆電竟成挖礦機。