手機病毒/手機平板行動安全 - 資安趨勢部落格

Stagefright 漏洞除多媒體簡訊之外還有其他攻擊方式

2015 年 07 月 29 日2015 年 08 月 14 日趨勢科技 TrendMicro

Stagefright 漏洞除多媒體簡訊之外還有其他攻擊方式

稍早Zimperium zLabs 揭露了一個讓駭客經由簡單的多媒體簡訊就能在裝置上安裝惡意程式的 Android 漏洞。由於其潛在的攻擊風險，這個稱為「Stagefright」(怯場) 的漏洞目前已獲得相當大的關注。例如，Stagefright 可讓駭客發送一個多媒體簡訊到某個手機，就能在使用者不知情的狀況下偷偷安裝一個間諜程式。請參考:影響九成以上 Android手機嚴重漏洞,只要一通特製多媒體簡訊(MMS),就可造成手機全面癱瘓!

從 Android 4.0.1 至 5.1.1 的所有版本都包含此漏洞，等於今日使用中的 Android 裝置有 94.1% 都受到影響。

除了 Zimperium zLabs 之外，趨勢科技也獨力發掘了這項漏洞，以下說明這項漏洞的進一步詳細內容。

漏洞分析

如同我們先前發現的 Android 漏洞，此漏洞同樣出現在媒體伺服器 (mediaserver ) 元件，這是一個負責播放多媒體檔案的元件。

包含此漏洞的 mediaserver 無法正常處理損毀的 MP4 檔案。因此，當 mediaserver 在播放一個損毀的 MP4 檔案時，會造成 Heap 記憶體溢位，導致 Heap 記憶體中的資料遭到覆蓋。駭客可利用這點來執行任意程式碼，進而下載一個惡意應用程式到裝置上。

導致此漏洞的原因是當媒體伺服器在解析已損毀的 MP4 檔案時會發生整數溢位的錯誤，導致緩衝區以外的記憶體內容遭到覆寫。更確切一點，這是因為 mediaserver 在解析含有 tx3g 旗標的資料時所發生的錯誤，這些通常是提供字幕的資料。繼續閱讀

會竊聽電話的 Hacking Team RCSAndroid 間諜工具

2015 年 07 月 24 日2015 年 09 月 15 日趨勢科技 TrendMicro

RCSAndroid 程式碼的外洩已讓它成為一項公開的商業間諜利器。行動使用者最好隨時掌握這項新聞的最新發展，並且隨時留意裝置是否有遭到監聽的跡象。可疑的跡象包括系統出現異常行為，例如：不正常重新開機、裝置上出現一些莫名其妙的應用程式、即時通訊軟體突然當掉等等。

一旦裝置遭到感染，這個後門程式必須有系統管理員 (root) 權限才能移除，使用者可能需要送回原廠來請他們重刷韌體才行。

繼新聞報導指出 iOS 裝置可能遭到 Hacking Team 間諜程式監聽之後，現在 Android 裝置也將遭殃。趨勢科技在 Hacking Team 資料外洩的檔案當中發現其開放原始碼惡意程式套件 RCSAndroid (Android 遠端遙控系統) 的程式碼，這是該公司所販賣的一項間諜工具。

RCSAndroid 工具的程式碼是至今曝光的所有 Android 惡意程式當中寫得最專業、最複雜工具之一。其程式碼的曝光，讓網路犯罪集團又多了一項新的利器可強化其間諜行動。

根據外洩的程式碼看來，RCSAndroid 應用程式具備下列10 個間諜能力：

透過「screencap」這個指令擷取螢幕抓圖，並可直接讀取螢幕緩衝區內容。
監看剪貼簿的內容。
蒐集 Wi-Fi 網路與各種網路帳號的密碼，如：Skype、Facebook、Twitter、Google、WhatsApp、Mail 及 LinkedIn。
利用麥克風錄音。
蒐集簡訊、多媒體簡訊與 Gmail 訊息。
蒐集定位資訊。
蒐集裝置資訊。
利用前、後鏡頭拍照。
蒐集聯絡人，解讀即時通訊訊息，如：Facebook Messenger、WhatsApp、Skype、Viber、Line、WeChat、Hangouts、Telegram 以及 BlackBerry Messenger。
攔截系統的 mediaserver 服務，即時錄下任何行動電話與 App 的語音通話。

繼續閱讀

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

2015 年 06 月 16 日2015 年 06 月 15 日趨勢科技 TrendMicro

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞，攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式（佔 Google Play上所有應用程式的5.6%）都可能受此漏洞影響。

該漏洞被存在於Cordova的一個功能內，讓Secondary Configuration Variables（也就是偏好設定）可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新（也就是Github的提交）的一部分，Cordova Android也更新為0.9.3。

我們的研究顯示，如果Base Activity沒有被適當的防護且偏好設定設成預設值，攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞：

應用程式至少有一個元件延伸自Cordova的Base Activity：CordovaActivity或設定Cordova框架（像java）沒有被適當的防護，也就是說可以被應用程式外部存取。
至少一個Cordova支援的偏好設定（除了LogLevel的和ErrorUrl）未在設定檔案（xml）中被定義。

它如何運作

要了解該漏洞如何運作，要先來看看應用程式的偏好設定如何設置。繼續閱讀

勒索軟體轉戰行動領域

2015 年 06 月 11 日2015 年 06 月 12 日趨勢科技 TrendMicro

勒索軟體 Ransomware一波一波持續不斷，尤其是最新出現的檔案加密勒贖軟體，例如：CryptoLocker。然而，這類惡意程式還有另一項令人憂心的發展：它們也開始將目光轉移到行動裝置上。

Reveton 又回來了

五月初，有報導指出此勒索軟體是 Reveton 犯罪集團所為。Reveton 是專門散布警察勒索軟體的網路犯罪集團之一，行蹤遍布歐洲和美國，後來又擴散至世界其他國家。

然而，就目前的情勢來看，這些網路犯罪集團似乎已決定將行動裝置使用者也納入他們的事業版圖。趨勢科技先前的努力已使得這群網路犯罪集團的部分人員遭到逮捕，但仍未將他們一網打盡，其中有些人已經轉戰行動惡意程式領域。

趨勢科技所偵測到的 ANDROIDOS_LOCKER.A就是一例，它是經由特定的網址來散布。其網域包含了「video」(視訊) 和「porn」(色情) 等字眼，所以我們大概了解受害者是如何連上其惡意網址。

當裝置正在執行或使用當中時，該惡意程式會暗中監視使用者畫面上的活動。根據趨勢科技對其程式碼的分析，它會在裝置鎖定時將自己的程式畫面蓋在鎖定畫面上方。如此一來，使用者就無法利用正常方式將它解除安裝，因為它的畫面會一直占據整個螢幕。

此外，它還會試圖透過多個網址來連上其幕後操縱 (C&C) 伺服器。這些網址現在都已無法連上，不過，其中一個網址先前會顯示色情內容。此勒索軟體顯然有能力傳送資訊到 C&C 伺服器，儘管它因為權限不足而沒有太多功能。

這些網址主要都位於美國和荷蘭的兩個 IP 位址。進一步分析顯示，這些 IP 位址還包含其他一些與這個惡意程式無關的惡意網址。

行動化風潮與最佳安全守則

近兩年來，原本桌上型電腦的惡意程式已逐漸轉進行動裝置。趨勢科技在今年三月即發現了專門以 Android 裝置為目標的比特幣 (Bitcoin) 採礦惡意程式。為了避開這類威脅，趨勢科技強烈建議您不要安裝非來自 Google Play 商店的應用程式，同時在您下載任何 App 之前都應仔細查看其開發廠商，而且要非常小心閱讀 App 的評論以確認 App 的真實性。

這項設定在 Android 系統「設定」當中的「安全性」設定內。此外，安裝一套像「安全達人」免費行動防護App( Android / iOS )的資安軟體，也能提供一層額外保護，幫您偵測來自非官方商店的 App 程式威脅。

◎原文出處：Ransomware Moves to Mobile 作者：Abigail Pichel (技術通訊專員)
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚