手機病毒/手機平板行動安全 - 資安趨勢部落格

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

2017 年 04 月 25 日2017 年 04 月 25 日趨勢科技 TrendMicro

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」，會跳出貌似 Google Play 的輸入對話框，要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡，它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝，「Fobus」就會從收集各種敏感資訊，像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制（C&C）伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》，藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌，這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增。

根據趨勢科技 Smart Protection Network的反饋資料，在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」（偵測為ANDROIDOS_FOBUS.OPSF）,透過第三方應用程式商店散佈。一如往常，它會要求各種權限:

圖1、山寨版軟體要求權限

繼續閱讀

行動電話如何變成企業威脅?

2017 年 04 月 24 日2017 年 04 月 13 日趨勢科技 TrendMicro

在去年，手機的數目已經超過了全世界的總人口數。在美國手機用戶的數量超過了傳統室內電話用戶，而且有一半的人只用手機通訊。在現代的智慧化城市裡，無線建築正逐漸成為一般家庭、工廠和公司的新建設標準。有線電話遲早有一天會消失。

儘管電話詐騙聽似古老的駭客技術，電話（特別是手機）對使用者和企業來說仍然很重要。就像企業電子郵件帳號會成為魚叉式釣魚攻擊（SPEAR PHISHING）的目標一樣，公司電話現在也會成為網路犯罪分子社交工程（social engineering ）攻擊的目標。

比方說，使用者在不知不覺中給出自己的公司電話號碼（如在社群網站上），讓詐騙分子可以輕易地這些地方入手來收集所需的電話號碼。這些人接著用社交工程攻擊來躲過一般網路和電子郵件所具備的保護機制。

雖然電話阻斷服務攻擊及自動撥號攻擊是已知且被認為只是擾人的事情，行動電話出現更加複雜的攻擊，主要是在手動及社交工程電話的方式。趨勢科技前瞻性威脅研究（FTR）團隊（與紐約大學、新加坡管理大學和喬治亞理工學院合作）最近部署了一套行動電話蜜罐系統（mobipot）來研究行動電話威脅和網路犯罪生態系統。我們不僅想知道這些攻擊怎麼進行，還有網路犯罪組織的方式。

Mobipot用honeycard（由研究人員管控的SIM卡，會記錄電話和訊息形式的攻擊）配置。這些honeycard的號碼透過多種方式來送給可能的攻擊者，包括執行手機病毒來洩露儲存在測試手機上聯絡人的號碼。

圖一介紹了Mobipot的架構，圖二則秀出其硬體。

圖1、Mobipot架構

圖2、Mobipot硬體

詐騙來電和簡訊大多數都出現在上班時間,可以看出網路犯罪分子想將其混入正常流量加以掩護

經過超過七個月的時間，研究人員收集了來自215發送者的1,021則訊息及來自413組號碼的634通語音電話。有超過80%都屬於不正常的來電或訊息，包括垃圾訊息、語音釣魚和針對性攻擊等威脅。

這些來電和簡訊大多數都出現在上班時間。可以看出網路犯罪分子想將其混入正常流量好看起來合法。詐騙分子還利用GSM代理系統和VoIP技術來掩飾偽造自己的發話號碼,讓傳統的黑名單偵測技術無法發揮效用，必須具備能考量脈絡資訊的新技術。

詐騙和垃圾訊息佔這些不正常通訊的 65%

用自動撥號和簡訊的方式出現，詐騙和垃圾訊息佔這些不正常通訊的65%。Mobipot收到的訊息包括提供鈴聲、行動資費方案、網路服務和遊戲及其他種類的廣告。下面是一些有趣的例子：

私家偵探提供盯哨和監視服務
駭客服務，如進入個人電子郵件和監聽使用者。
交易非法商品，如偷來的信用卡、被入侵的支付帳戶、Paypal與驗證的餘額以及不同金額和形式的發票。
政治宣傳（在中國收到）：「祝你新年平安。這通電話是想告訴你中國的苦難仍在繼續。我們要如何可以不浪費錢？[…]忠於中國共產黨。在我們的計畫中要改革土地[…]」

繼續閱讀

出現在 iOS App Store上不尋常的記帳軟體

2017 年 03 月 29 日2017 年 03 月 30 日趨勢科技 TrendMicro

第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統，處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎？它利用Apple所發放的企業憑證 – 這成本很高，因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字，但應用程式商店本身是用中文。此外，它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」，也就是家庭記帳軟體。看起來是個家庭財務助手軟體，但實際上是一個第三方應用程式商店。透過這個第三方商店，可以下載被蘋果禁止的越獄應用程式，Apple已經將它從App Store中刪除。

圖1、iOS App Store內的家庭記帳軟體

圖2-4、應用程式啟動的各階段

程式碼（如下圖5）顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過：如果沒有，就不會有鍵值存在。該應用程式會轉去執行其他動作，要求資料使用權限來存取第三方商店。因為 iOS的權限機制，這請求需要由使用者（圖2）同意。第一次請求失敗讓應用程式轉成記帳本畫面，偽裝成合法應用程式（圖3）。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。繼續閱讀

《資安漫畫》行動裝置也有資安漏洞 ! 三個好習慣掌握個資安全

2017 年 03 月 20 日2017 年 03 月 09 日趨勢科技 TrendMicro

繼續閱讀

Android 行動裝置威脅:Root 改機惡意程式和漏洞攻擊,隨著漏洞數量增加而趁勢崛起

2017 年 03 月 03 日2017 年 03 月 06 日趨勢科技 TrendMicro

趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止，我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬，較 2015 年的 1,070 萬有著飛躍性成長。

就全球來看，目前最普遍的是漏洞攻擊和惡意的 Root 改機程式。

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務，以及 Smart Protection Network™ 全球威脅情報網的統計，2016 年，我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞，可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中，有 10 個以上可用來駭入系統執行程序，或者用於駭入系統核心。例如，核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞，可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制。

其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有 Dirty COW (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter，全都可能讓駭客取得裝置的系統管理 (root) 權限。

隨著更多資安漏洞被發現，Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞，該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後，該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是使用一個開放原始碼 Root 改機套件，該套件收錄了多種漏洞攻擊程式碼。截至六月為止，已有超過 850,000 台 Android 裝置受害，目前已有超過 79,780 個變種在網路上流傳。

另外還有 Ghost Push，其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中，目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月，目前已有 1,163 個變種，它會對受害的裝置進行改機 (Root)，並偷偷下載及安裝其他應用程式，同時竊取使用者的資料。