手機病毒/手機平板行動安全 - 資安趨勢部落格

Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線

2017 年 09 月 13 日2017 年 09 月 11 日趨勢科技 TrendMicro

銀行木馬 EMOTET和Trickbot 在沉寂一段時間後再度死灰復燃，(趨勢科技將它們分別偵測為TSPY_EMOTET和TSPY_TRICKLOAD)。這些銀行病毒都是經由社交工程（social engineering ）惡意垃圾郵件或網路釣魚（Phishing）郵件散播。安全研究人員指出它們還會利用蠕蟲、下載其它惡意軟體以及模仿銀行網域等方式散播。

EMOTET能夠“竊聽”經由網路連線傳輸的資料,以繞過HTTPS安全連線，並躲避傳統的偵測技術

EMOTET首次現身於 2014年: 假冒銀行轉帳通知!!利用網路監聽竊取資料跟其他利用惡意網頁來竊取銀行資料的銀行惡意軟體不同，EMOTET能夠“竊聽”經由網路連線傳輸的資料。這讓攻擊者可以繞過像HTTPS這樣的安全連線，並且躲避傳統的偵測技術。在2016年12月，趨勢科技發現它再度出現在相同地區，還包括了熟悉的舊資料竊取軟體DRIDEX和ZeuS/ZBOT。

最近再度出現的EMOTET還會植入DRIDEX病毒。垃圾郵件內的惡意連結會將受害者導向下載一個Word文件，內嵌會觸發PowerShell腳本的Visual Basic程式碼。這腳本會下載並執行EMOTET及其他惡意軟體，其中最常見的是DRIDEX，放在各攻擊者所擁有的網域。

Trickbot銀行木馬偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制（C&C）伺服器下載Trickbot的惡意巨集

Trickbot銀行木馬是前輩DYRE/Dyreza惡意軟體的接班人，它會利用以假亂真的銀行網頁。也透過夾帶HTML檔案的惡意垃圾郵件散播。這些HTML檔案會下載偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制（C&C）伺服器下載Trickbot的惡意巨集。繼續閱讀

勒索病毒藏在你的口袋裡趴趴走嗎?

2017 年 09 月 04 日2017 年 08 月 25 日趨勢科技 TrendMicro

近幾個月來，WannaCry(想哭)勒索蠕蟲及 NotPetya 勒索病毒攻擊再度引起滿城風雨，讓人更審慎思考造成這些威脅的原因，許多領導廠商也再度推行資安防護，防範電腦漏洞。不過，有另一種極容易遭到勒索病毒入侵的端點可能被忽略了，說不定您口袋裡就有一個。

行動裝置比桌上型電腦更難監管

在 BYOD 或 COPE 政策開始施行後，在工作場所中使用智慧型手機、平板電腦等個人行動裝置的接受度越來越高，導致 IT 必須耗費大量心力來適切地控管這類硬體。然而行動裝置比桌上型電腦更難監管，勒索病毒的技術又越發精密，如果使用者未加警覺，就有可能受害。勒索病毒的攻擊目標逐漸鎖定行動裝置，但企業和員工卻沒有做足自我保護措施。

2017年第一季行動勒索病毒較前一季翻3.5倍

2016 年被稱為勒索病毒之年，現在看來 2017 年不但承其基業，而且規模更勝以往。勒索病毒常發展出新變種，盡其所能威脅更多人。根據業界報告，2017 年第一季偵測到超過 218,000 個行動勒索病毒檔案，而前一季僅有 61,000 個。其中有高達 86% 的攻擊來自於 Congur 系列的勒索病毒，會在發動後重設裝置密碼，讓駭客取得管理員權限，有部分變種相當難以移除，因此該台裝置未來仍有被脅迫的風險。

行動勒索病毒會影響裝置和企業的安全性

行動勒索病毒的運用量持續上升，是不容忽視的威脅，有些駭客可能會要求 100 至 500 美元不等的贖金來解鎖裝置，但無法保證他們是否真會履行約定，而且駭客可能會再次將受害者當成目標。2016 年，駭客的攻擊行動賺進了 10 億美元，對企業造成不小的損失，而且還有合規問題和名譽受損的後果需要善後。企業領導者和員工必須學會辨識行動勒索病毒、瞭解其如何感染系統，以及該如何有效地保護自己。繼續閱讀

叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

2017 年 08 月 25 日2017 年 08 月 25 日趨勢科技 TrendMicro

叫車程式會儲存及使用個人金融資訊和身分資料,FakeToken 變種木馬會即時監控 Android 裝置上所安裝的這類應用程式並試圖偷取相關資料。當使用者執行某個叫車程式時，FakeToken 就會顯示一個網路釣魚畫面並將它重疊在原本的應用程式畫面上，騙受害者輸入信用卡資料。而且網路釣魚畫面長得跟就像原本的應用程式一樣，包括標誌和配色等等。此外，這一版的 FakeToken 還會攔截手機收到的簡訊，監控手機通話並錄音

趨勢科技提醒您,請勿在網路上分享過多個人資訊，同時也盡可能減少您提供給應用程式的權限。還有，務必小心一些不請自來的簡訊

您是否正準備使用您最愛的叫車程式來規劃您接下來的路線呢？請注意，如果該程式曾經不只一次向您要求輸入信用卡資料，那這很可能是個惡意程式。

資安研究人員發現，目前有個 Android 叫車應用程式其實是 FakeToken 銀行木馬程式所假冒 (趨勢科技命名為 ANDROIDOS_FAKETOKEN)。除此之外，該版本的 FakeToken 還會冒充成一些交通罰單或飯店和機票訂位的支付程式。繼續閱讀

網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

2017 年 08 月 25 日2017 年 08 月 24 日趨勢科技 TrendMicro

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件，例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純：竊取個人資訊並從中獲利，而遊戲本身也因此經常遭到濫用。

在本文說明的案例中，遭到網路犯罪者利用的並非遊戲，而是遊戲玩家所使用的通訊工具，Discord，這是玩家經常使用的新一代聊天平台，擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX，這個遊戲擁有 1 億 7,800 萬名註冊用戶，每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容，玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境，並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素，鼓勵使用者進行社交、一起玩遊戲及建立內容，並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord 的詐欺漏洞

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中，Discord 扮演何種角色？我們的研究發現，網路犯罪者濫用此聊天平台內建的一項功能，即應用程式設計介面 (API)，API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中，竊取包含 ROBLOX 登入憑證的瀏覽器 cookie，具體而言，是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時，讓聊天程式傳送訊息至指定頻道或使用者，Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟：

惡意程式感染目標系統，在此案例中，趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上，使用者將它貼在論壇上，宣稱是「作弊程式」，可讓玩家修改角色，取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook，如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。圖 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
此惡意程式會持續等待，直到偵測到被害者系統中的 ROBLOX，就會竊取使用者的遊戲帳戶 cookie。
惡意程式利用 Discord，將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶，竊取儲存於帳戶的 ROBUX，推測最後換為現金。

繼續閱讀

Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

2017 年 08 月 23 日2017 年 08 月 22 日趨勢科技 TrendMicro

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker（ANDROIDOS_GHOSTCLICKER.AXM），其中一個“阿拉丁冒險世界（Aladdin’s Adventure’s World）”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括：休閒遊戲、設備效能工具（如清理工具和加速工具）和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架，到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務（GMS，Google最熱門應用程式和應用程式介面（API）組合）,也會隱藏在Facebook廣告的軟體開發套件（SDK）。將自己嵌入到這兩個服務，皆以“logs”為名，可能是怕偽裝成合法應用程式元件比較容易引起懷疑。