手機病毒/手機平板行動安全 - 資安趨勢部落格

你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!

2017 年 09 月 29 日2017 年 09 月 12 日趨勢科技 TrendMicro

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。

約有14億用戶的Android設備,讓網路駭客嗅到銅臭味,覬覦這個賺黑心錢的大餅，智慧型手機成為攻擊目標。根據諾基亞的統計，針對Android設備的攻擊佔去年行動設備攻擊的81%，而在10月，中毒設備也佔了所有設備的1.35%，這是前所未有的紀錄。我們的數位生活越來越依賴行動設備，智慧型手機在2016年激增400%，如果它們遭受壞人攻擊，最終的受損的還是消費大眾,問題已經迫在眉睫了。

Android惡意軟體濫打電話傳簡訊,還可遠端控制你的手機

開發人員很容易將應用程式上傳到Google的官方Play商店或世界各地眾多的第三方應用程式市場。但是這樣的開放性可能會帶來安全問題。儘管Google越來越嚴格地審查應用程式是否潛藏惡意內容，並且一旦發現就會將其移除，但你仍然可能會選擇和安裝到惡意軟體。

就在最近，研究人員發現了超過1000個帶有SonicSpy的應用程式，這是會劫持受感染設備來竊聽使用者的Android惡意軟體，或打電話和傳簡訊到付費服務號碼。至少有三個版本出現在Google Play上。最近的Android惡意軟體還有GhostCRL，它可以讓駭客遠端控制設備；以及MilkyDoor，它已經透過Google Play被安裝了100萬次。

不到3%的使用者使用最新最安全的 Android 作業系統版本

更新修補（安裝最新的安全更新）是保護電腦或行動設備降低中毒機率最簡單的作法。但在開放的Android生態系中，Google所釋出的修補程式安裝比例仍然偏低。Google在其最新的Android安全年度評估報告中指出，在2016年只有一半的Android設備已經被修補。雖然這已經比前幾年有所改善，但還是遠遠不夠。事實上，不到3%的使用者使用最新最安全的作業系統版本。

你用智慧型手機看電子郵件,使用社群媒體、買東西、看影片、傳簡訊甚至進行網路銀行交易,駭客都有辦法知道!

駭客知道我們用智慧型手機做一切事情，從看電子郵件和社群媒體、買東西、看影片、傳簡訊給朋友和進行網路銀行交易。這讓行動設備成為惡意軟體和社交工程詐騙的主要目標，為了竊取或誘騙我們交出登錄憑證和財務資訊。

為了從我們的手中拿走血汗錢，駭客們開發了一系列的工具和手段，包括銀行木馬、勒索病毒、間諜軟體、網路釣魚和付費服務簡訊惡意軟體。

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。繼續閱讀

iXintpwn/YJSNPI 濫用 iOS 組態設定檔，造成裝置毫無反應

2017 年 09 月 22 日2017 年 09 月 21 日趨勢科技 TrendMicro

儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式，但卻也無法完全杜絕網路上的各種威脅。2016 年，趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查。

眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A)，這是一個惡意的組態設定檔，可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒，此駭客已於今年六月初遭到逮捕。

儘管 iXintpwn/YJSNPI 目前似乎集中在日本，但就其目前在社群媒體上的氾濫情況來看，就算哪天擴散至其他地區也不令人意外。

iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現，接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式，與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示，也就是網路上流傳的「野獣先輩」的圖片。

不論作者當初是為了捉弄他人，或者是為了成名，其攻擊手法都相當值得關注，因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。

YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布，尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本，會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時，就會去下載該設定檔。

圖 1：從程式碼可看出 YJSNPI 是一個 Blob 物件 (上)，以及此物件如何經由 Safari 瀏覽器下載 (下)。

iOS 組態設定檔案遭到濫用
iOS 組態設定檔案，可讓應用程式開發人員簡化設定大量裝置組態的程序，包括：電子郵件、Exchange、網路、憑證等等的設定。例如，企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外，組態設定檔也可用於自訂裝置的某些設定，如：存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。

很顯然地，歹徒可利用惡意組態設定檔來竄改設定，例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式的 Haima 重新包裝程式。

以 iXintpwn/YJSNPI 為例，歹徒使用了一個未經簽署的組態設定檔，並且將它設定成「無法刪除」，因此更難將它移除 (如下圖所示)。為了長期潛伏，它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意，iOS 系統其實有對應的安全措施，也就是，當已簽署或未簽署的設定檔要安裝在系統上時，需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式，例如，已簽署的設定檔會標示為「已經確認」。

圖 2：iXintpwn/YJSNPI 使用一個未經簽署的設定檔。

圖 3：惡意的組態設定檔被設定成不可移除 (左)，其圖示填滿了整個手機螢幕 (右)。

繼續閱讀

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

2017 年 09 月 21 日2020 年 06 月 11 日趨勢科技 TrendMicro

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導，它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險，是因為它會偽裝正常的銀行應用程式，將自己的網頁覆蓋在正常的銀行應用程式操作介面上，進而騙取使用者的帳號密碼。此外，BankBot 還能攔截手機簡訊，因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中，Bankbot 一直偽裝成正常的應用程式到處散布，有些甚至在熱門應用程式商店上架。今年 4 月和 7 月，Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式，總數超過 20 個以上。

最近，趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式，其中有四個假冒成工具軟體。有兩個被立即下架，其他兩個則待得久一點，因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外，被假冒的應用程式數量也從 150 個增加到 160 個，新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作：

執行環境必須是真實的裝置 (而非模擬器)
裝置所在位置不能在獨立國協 (CIS) 國家境內
手機上原本就已安裝它所要假冒的應用程式

將山寨網頁覆蓋在正常銀行應用程式上方，以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時，它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式，就會試圖連上幕後操縱 (C&C) 伺服器，然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著，C&C 伺服器會傳送一個網址給 BankBot，好讓它下載一組程式庫，內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方，這樣就能攔截使用者所輸入的帳號密碼。繼續閱讀

Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!

2017 年 09 月 15 日2017 年 09 月 15 日趨勢科技 TrendMicro

Android的Toast漏洞覆蓋（Overlay）攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

安全研究人員警告使用者關於可能導致Toast覆蓋（overlay）攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體，將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

隱藏按鈕可以用來安裝惡意資料竊取應用程式，甚至是劫持螢幕和並鎖住使用者的勒索病毒

覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。

這是什麼意思？比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式，甚至是劫持螢幕和並鎖住使用者的勒索病毒。

[延伸閱讀：CVE-2017-0780：阻斷服務漏洞可能導致Android訊息應用程式崩潰]

這個覆蓋攻擊做了什麼？

覆蓋攻擊本身並不新，而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可，並且必須從Google Play安裝。

但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞，Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會（IEEE）在最近的黑帽（Black Hat）安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。

[延伸閱讀：Android 手機勒索病毒再進化-更大、更壞、更強!]

所有版本的Android都有此漏洞，Toast甚至可以覆蓋整個螢幕

所有版本的Android都有此漏洞，除了最新的Oreo。Android Nougat有個預防措施，就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外，Toast不需要與Android其他視窗有相同的權限，甚至可以利用Toast來覆蓋整個螢幕。

[延伸閱讀：GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]

你能做什麼？保持作業系統和應用程式更新，只從官方Google Play或可信賴的來源下載

此漏洞（CVE-2017-0752）的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現，但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。繼續閱讀

防毒軟體評比:趨勢科技行動安全防護獲得AVC及 AV -Test評測: 100% 體偵測率和零誤判

2017 年 09 月 14 日2017 年 09 月 12 日趨勢科技 TrendMicro

智慧型手機和應用程式在這些年來有多進步，行動惡意軟體也就有一樣的成長。我們已經看到了越來越多的威脅出現 – 從行動勒索病毒和自動點擊廣告軟體，到可能危及隱私的危險後門程式。而且還有合法的個人應用程式會被利用並用來針對你的公司。因為儲存在手機內的資料量及價值（從銀行資料到帳號憑證和聯絡人資訊），保護這些資料也變得越來越重要。

趨勢科技行動安全防護連續三年獲得AVC評測: 100% 體偵測率和零誤判

已經有許多的行動安全軟體可供消費者使用。為了更加容易選擇，有獨立機構會系統性地檢測各家軟體是否跟聲稱的一樣有效。AV-Comparatives（AVC）是其中之一，並且會“使用全世界最大量的樣本群來建立真實的環境，進行真正的準確測試”。AVC每年都會進行一次研究，在過去三年（2015年、2016年和2017年），趨勢科技提供給 Android消費者的行動安全防護（TMMS）一直都在防護方面取得最佳成果 – 100%的惡意軟體偵測率和零誤判。

提供給 Android 消費者的趨勢科技行動安全防護使用趨勢科技的雲端技術趨勢科技主動式雲端截毒服務 Smart Protection Network和行動應用程式信譽評比技術來阻止威脅到達使用者。趨勢科技行動安全防護會掃描檔案並且使用了預測機器學習引擎，這是SPN所提供的功能之一。它將樣本與惡意軟體模型進行比對以取得概率分數，然後判斷檔案是否為惡意軟體。這樣一來，產品可以防止惡意檔案安裝，並提醒用戶加以移除或刪除。

AV-Test:三個使用趨勢科技行動安全防護的理由 繼續閱讀