手機病毒/手機平板行動安全 - 資安趨勢部落格

Yispectre惡意程式感染中國和台灣：就算不越獄的 iPhone 也不一定安全

2015 年 10 月 21 日2015 年 10 月 22 日趨勢科技 TrendMicro

就在 XcodeGhost 攻擊事件爆發之後沒多久，緊接著就出現了一個名叫「YiSpecter」的最新惡意程式，專門感染 iOS 裝置。根據報導，此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式，駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月，絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀：利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月，此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外，它還會藉由下列方式來散布：攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲，以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置，就能繼續下載、安裝、啟動其他應用程式，此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎，並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且，研究人員更發現，即使是手動刪除該惡意程式，它也還會再自己出現。

根據 Apple 最近發表的聲明：

「此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題，同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外，也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式，並且留意下載時所出現的任何警告。」繼續閱讀

趁著 iPhone 6s 上市，複習基本的行動安全守則

2015 年 10 月 08 日2015 年 10 月 08 日趨勢科技 TrendMicro

小改版的 iPhone 6s 和 6s Plus 或許不像前一代那樣令人驚艷，但仍有一些足以讓忠實粉絲開心的功能。

短短的幾年之內，智慧型手機在設計上已有飛躍性的成長。但是，當科技發展如此迅速時，安全通常會跟不上腳步。對網路犯罪集團來說，就算只是一丁點的漏洞，他們也會找到潛入你裝置的方法。

危機四伏

智慧型手機其實就像一部口袋裡的迷你電腦，所以，家中的網路 PC 會遇到什麼樣的威脅，智慧型手機一樣也會遇到，例如：

	網站式攻擊社群網站威脅和 Facebook 隱私權風險網路銀行攻擊網路釣魚（Phishing）、垃圾郵件(SPAM)，以及其他藉由電子郵件傳播的威脅

不僅如此，還有一些是智慧型手機特有的威脅，例如：

	裝置遺失或失竊不安全的 Wi-Fi 網路可能潛藏的攻擊 (尤其是中間人攻擊) 惡意應用程式

惡意應用程式經常假冒正牌應用程式，它們常見於非官方應用程式商店。這類程式包括專門撥打高費率付費電話的「盜打程式」、間諜程式、勒索軟體 Ransomware，以及資訊竊取程式等等。繼續閱讀

Google Play 上的兩款遊戲可將 Android 裝置解鎖

2015 年 10 月 03 日2015 年 10 月 24 日趨勢科技 TrendMicro

Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話，那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起，而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris，我們已將問題通報給 Google Play 的資安團隊，目前正在等候回音。

RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計，它大約感染了 500 至 1,000 台 Android 裝置，絕大多數位於中國。

它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料，以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些)：

Appszoom：https://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
豌豆荚：https://www.{BLOCKED}jia.com/apps/com.antdao.tetris
应用宝：https://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
360Market：https://{BLOCKED}u.360.cn/detail/index/soft_id/2911263

這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件，視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。

Rootkit	CVE 漏洞編號
FramaRoot	CVE-2013-6282
TowelRoot	CVE-2014-3153
GiefRoot	CVE-2014-7911 和 CVE-2014-4322
PingPongRoot	CVE-2015-3636

表 1：RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞

經過進一步的分析，我們找到了一個與 RetroTetris 相關的網站 (shuame.com)，裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像，因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。

Brain Test
Brain Test 假冒成一個腦力測試的遊戲，包括讓您的「左腦」和「右腦」互相比較，您必須在一分鐘內解出問題。聽起來是不是很有挑戰性？這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱：com.mile.brain) 時的誘餌，隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架，但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱：com.zmhitlte.brain)，這次使用的是百度包裝程式。此程式又被 Google 逮到，並於六天之後，也就是 9 月 16 日將它下架。不過，作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成：com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置，就會再下載並安裝其他惡意應用程式，並且會將裝置解鎖 (root)，讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信，即使這個惡意程式已經從 Google Play 下架，但應該還是有些存在於受害者的裝置中。

Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外，我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站，以下列舉幾個範例：
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms

解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎，不論 Google Play 商店和非官方應用程式商店都一樣。此外，您也可以安裝一套行動裝置防護軟體，如趨勢科技行動安全防護 (TMMS) ，就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼：
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式：
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A

原文出處：Two Games Released in Google Play Can Root Android Devices作者： Wish Wu 和 Ecular Xu

《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載