手機病毒/手機平板行動安全 - 資安趨勢部落格

拒絕傻當網路挖礦工！向擾人廣告說拜拜; iOS 11以上用戶免費下載Trend Micro Zero隱私至上瀏覽器

2018 年 02 月 12 日2018 年 02 月 12 日趨勢科技 TrendMicro

你是否覺得明明沒開幾個程式手機速度好像越來越慢或是電池常常發燙嗎？小心3C裝置已經成為幫助駭客賺取比特幣的挖礦工! 趨勢科技於一月份偵測到Coinhive 網頁式挖礦程式的偵測數量因某波惡意廣告行動突然成長3倍，駭客利用網路廣告服務 DoubleClick 來散布其惡意程式，受害地區包括日本、法國、台灣、義大利與西班牙。除了可能成為挖礦幫手外，追劇時常被跳出的廣告干擾 ? 或是上網時，對社群軟體、搜尋系統持續跳出推薦近期瀏覽過的商品小視窗感到煩人?

《延伸閱讀》Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

趨勢科技為打造隱私的網路空間，最新推出 Trend Micro Zero 瀏覽器，可阻擋內嵌挖礦程式，降低裝置的電量耗損，避免消費者在不知情下成為黑客挖礦的幫手！除此之外，許多消費者為避免被廣告騷擾，選擇使用「無痕瀏覽」保護隱私，但其實在瀏覽網頁時，商家可能已經悄悄得到個人資訊消費者卻不知情，Trend Micro Zero 瀏覽器可保護消費者在瀏覽網頁、上網追劇時，不被網站側錄資料留下行為記錄，同時免遭垃圾廣告騷擾，提供網路使用者零風險的隱私防護。

目前Trend Micro Zero 瀏覽器提供消費者免費下載，支援iOS 11 以上版本，提供繁體中文、簡體中文、英語三種語言。僅21.5 MB的Trend Micro Zero 瀏覽器免註冊、操作簡單易上手，快速載入網頁的同時更能即時提供各種封鎖阻擋結果的項目統計，輕鬆保護消費者個資和生活隱私！

安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

2018 年 02 月 06 日2019 年 12 月 03 日趨勢科技 TrendMicro

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者，發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來，就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員，可能與 2016 年發現的一個可疑網路間諜組織有關。

基於其命令及控制 (C&C) 伺服器的相似性，我們也懷疑，此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT)，入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機，用來竊取其他裝置的資訊

早在 2014 年，PoriewSpy 會竊取受害者裝置上的敏感資訊，例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的，惡意軟體的操作人員修改了此計畫的程式碼，加入了下列元件：

權限
android.permission.INTERNET	允許應用程式開啟網路通訊端
android.permission.RECORD_AUDIO	允許應用程式錄製音訊
android.permission.ACCESS_NETWORK_STATE	允許應用程式存取網路相關資訊
android.permission.READ_SMS	允許應用程式讀取簡訊
android.permission.READ_LOGS	允許應用程式讀取低層的系統日誌檔案
android.permission.GET_ACCOUNTS	允許存取 Accounts Service 中的帳戶清單
android.permission.READ_CONTACTS	允許應用程式讀取使用者的聯絡人資料
android.permission.READ_CALL_LOG	允許應用程式讀取使用者的通話記錄
android.permission.READ_PHONE_STATE	允許對手機狀態進行唯讀存取
android.permission.WRITE_EXTERNAL_STORAGE	允許應用程式寫入外部儲存裝置
android.permission.READ_EXTERNAL_STORAGE	允許應用程式從外部儲存裝置讀取
android.permission.RECEIVE_BOOT_COMPLETED	允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息
android.permission.BATTERY_STATS	允許應用程式更新收集到的電池統計資料
aandroid.permission.ACCESS_FINE_LOCATION	允許應用程式存取精確定位 (例如 GPS) 的位置
android.permission.ACCESS_WIFI_STATE	允許應用程式存取 Wi-Fi 網路相關資訊
android.permission.ACCESS_COARSE_LOCATION	允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置
android.permission.ACCESS_MOCK_LOCATION	允許應用程式建立用於測試的模擬位置提供者
android.permission.CHANGE_NETWORK_STATE	允許應用程式變更網路連線狀態
android.permission.CHANGE_WIFI_STATE	允許應用程式變更 Wi-Fi 連線狀態

圖 1：惡意軟體作者修改 Android Image Viewer 所加入的權限

服務
AudioRecord	主要間諜元件
LogService	用來收集日誌
RecordService	音訊錄製

繼續閱讀

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式

2018 年 01 月 26 日2018 年 01 月 25 日趨勢科技 TrendMicro

趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中，有許多是早在 2017 年 4 月就已上架，而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為：ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中，有許多都是採用越南文，就連它們在 Google Play 上的說明也是。

該程式幕後操縱 (C&C) 伺服器的網址也位於越南：mspace.com.vn。從這一點以及大量使用越南文來看，很可能意味著這些應用程式來自越南，例如，GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南，就會預設使用英文。

利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者

這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的：社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌，吸引想要將影片下載到裝置上離線觀賞的使用者，這一點與我們偵測到的 GhostTeam 行為吻合。根據報導，印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家，所以也因此成為 GhostTeam 肆虐最嚴重的國家。

失竊的帳號很可能將被組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式

雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動，但這一點應該是無庸置疑的事。因為，就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路)，這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式，或者組成社群網路殭屍大軍，大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊，因此在地下網路上算是常態商品。

圖 1：GhostTeam 肆虐最嚴重的國家。

除此之外，應用程式當中還有一項有關作者的線索：該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。

圖 2：會暗中竊取 Facebook 帳號的應用程式圖示。 繼續閱讀

36個假資安之名廣告程式,藏身 Google Play,蒐集個資、追蹤位置,大賺廣告財

2018 年 01 月 05 日2018 年 01 月 05 日趨勢科技 TrendMicro

2017 年 12 月初，趨勢科技在 Google Play 官方應用程式商店上總共發現了 36 個會出現不當行為的應用程式。這些應用程式皆有著貌似安全軟體/資安工具的應用程式名字，例如：Security Defender、Security Keeper、Smart Security、Advanced Boost 等等。此外更宣稱具備各種實用功能：掃瞄、清理系統、節省電力、幫 CPU 降溫、鎖住應用程式，以及提供訊息安全、WiFi 安全等等。

應用程式一旦執行之後，使用者就會看到一大堆安全警告、電量過低等通知及緊緊相隨的廣告訊息。例如，當使用者在安裝其它應用程式時，它會立即警告使用者該程式疑似惡意程式。或者，使用者可能會看到系統浪費了 10.0 GB 的空間，提醒使用者採取某種行動。在核對過原始程式碼之後，我們發現這些安全警告的其實都是假的，其目的是背後暗中蒐集使用者的資料、追蹤使用者的定位資訊，並大賺廣告財。

惡意應用程式會將使用者個人資料、已安裝的應用程式，以及附件檔案、使用者操作資訊、觸發的事件等資訊傳送至遠端伺服器。除此之外，還會蒐集 Android ID、網路卡實體位址 (MAC)、IMSI (行動電信業者識別資料)、作業系統資訊、裝置品牌與型號、裝置詳細資訊 (螢幕大小和畫素密度)、語言、地理位置資訊以及裝置已安裝應用程式。

要確保行動裝置安全並保護珍貴資料，使用者可採取以下五個基本動作：

廠商通常會盡速修補自家應用程式和軟體的漏洞，所以使用者務必隨時更新到最新版本。更新是保持行動裝置安全、防範已知威脅的必要動作。繼續閱讀

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

2018 年 01 月 04 日2018 年 09 月 25 日趨勢科技 TrendMicro

熱門的糖果遊戲為何需要存取你的通訊錄?

你知道有些應用程式可以用麥克風收音卻沒讓你知道嗎?

能夠控制相機的應用程式在使用相機時必須很明顯（像是在螢幕上顯示鏡頭看到什麼），不過在技術上並不總是如此。

它們的目的是什麼?

App的自動提醒功能超方便，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機安裝導航應用程式很實用，可以在你出門時告訴你需要在30分鐘內開車到行事曆中位於市區另一邊22分鐘車程的地方。為了做到這點，應用程式必須存取你的GPS位置和你的行事曆，可能還要隨時都監控著這些資訊。你或許並不想要分享這些。但這實用的自動提醒，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機應用程式融入我們的日常生活，有件事情是你該去思考衡量的：“隱私VS方便”。

Android作業系統有提供選項來處理這類情況，讓使用者自行設定應用程式所擁有的權限。打開Android設定，然後找到類似“應用程式管理員”或搜尋“權限”（這會依你所用的Android版本而異）。