小改版的 iPhone 6s 和 6s Plus 或許不像前一代那樣令人驚艷,但仍有一些足以讓忠實粉絲開心的功能。
短短的幾年之內,智慧型手機在設計上已有飛躍性的成長。但是,當科技發展如此迅速時,安全通常會跟不上腳步。對網路犯罪集團來說,就算只是一丁點的漏洞,他們也會找到潛入你裝置的方法。
危機四伏
智慧型手機其實就像一部口袋裡的迷你電腦,所以,家中的網路 PC 會遇到什麼樣的威脅,智慧型手機一樣也會遇到,例如:
|
|
不僅如此,還有一些是智慧型手機特有的威脅,例如:
|
|
惡意應用程式經常假冒正牌應用程式,它們常見於非官方應用程式商店。這類程式包括專門撥打高費率付費電話的「盜打程式」、間諜程式、勒索軟體 Ransomware,以及資訊竊取程式等等。 繼續閱讀
Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話,那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起,而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris,我們已將問題通報給 Google Play 的資安團隊,目前正在等候回音。
RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計,它大約感染了 500 至 1,000 台 Android 裝置,絕大多數位於中國。
它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料,以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些):
這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件,視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。
| Rootkit | CVE 漏洞編號 |
| FramaRoot | CVE-2013-6282 |
| TowelRoot | CVE-2014-3153 |
| GiefRoot | CVE-2014-7911 和 CVE-2014-4322 |
| PingPongRoot | CVE-2015-3636 |
表 1:RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞
經過進一步的分析,我們找到了一個與 RetroTetris 相關的網站 (shuame.com),裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像,因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。
Brain Test
Brain Test 假冒成一個腦力測試的遊戲,包括讓您的「左腦」和「右腦」互相比較,您必須在一分鐘內解出問題。聽起來是不是很有挑戰性?這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱:com.mile.brain) 時的誘餌,隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架,但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱:com.zmhitlte.brain),這次使用的是百度包裝程式。此程式又被 Google 逮到,並於六天之後,也就是 9 月 16 日將它下架。不過,作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成:com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置,就會再下載並安裝其他惡意應用程式,並且會將裝置解鎖 (root),讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信,即使這個惡意程式已經從 Google Play 下架,但應該還是有些存在於受害者的裝置中。
Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外,我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站,以下列舉幾個範例:
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms
解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎,不論 Google Play 商店和非官方應用程式商店都一樣。此外,您也可以安裝一套行動裝置防護軟體,如趨勢科技行動安全防護 (TMMS) ,就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼:
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式:
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A
原文出處:Two Games Released in Google Play Can Root Android Devices作者: Wish Wu 和 Ecular Xu
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
Ghost Push 背後很可能是一個有組織的網路犯罪集團,因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外,該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本),皆透過非官方應用程式商店流傳。其中,有一個惡意程式感染了 100,000 多個裝置;有兩個感染了 10,000 多個裝置;有七個感染了 1,000 多個裝置。
萬聖節還沒到,但 Android (安卓)使用者已經開始遭到幽靈騷擾,也就是 Ghost Push 惡意程式可以取得手機最高權限,並且下載有害的廣告和應用程式。它經常包裝在非官方應用程式商店下載的 App 中。Ghost Push可監控任何可能通知使用者的執行程序,因此可肆無忌憚地從事惡意活動。
Ghost Push 惡意行徑還包含:強制關閉手機 Wi-Fi 功能,改用行動數據連線來下載惡意程式、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。
根據趨勢科技對 Ghost Push 的深入調查,其近期變種較先前版本更進化,會利用下列方式來讓它更難被偵測和移除:
目前網路上流傳的 Ghost Push 變種大約有 20 多個,以下是幾個已知會散布這些變種的網址:
Ghost Push 從今年 4 月起即活躍至今,但 9 月份出現的變種數量明顯高於前幾個月。
有沒有提供過多的資訊給應用程式?
在智慧型手機上安裝應用程式時,是否有確認允許應用程式取得哪些權限?或許你正在安裝的應用程式,是打算竊取智慧型手機內的個人資料或聯絡人資料的非法應用程式。事實上,分辨非法應用程式的提示就在允許應用程式取得權限的清單畫面中。 繼續閱讀
在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。
XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人
上傳的版本:
圖 1:分享 Xcode 的網站。
但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)
圖 2:被改過的 Xcode 6.2。
圖 3:被改過的 Xcode 6.4。
受感染的應用程式
以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。
| BundleID | 版本 | AppLabel |
| com.51zhangdan.cardbox | 5.0.1 | 51卡保险箱 |
| com.cloud1911.mslict | 1.0.44 | LifeSmart |
| cn.com.10jqka.StocksOpenClass | 3.10.01 | 炒股公开课 |
| com.xiaojukeji.didi | 3.9.7 | 嘀嘀打车 |
| com.xiaojukeji.didi | 4.0.0 | 滴滴出行 |
| com.xiaojukeji.dididache | 2.9.3 | 滴滴司机 |
| com.dayup11.LaiDianGuiShuDiFree | 3.6.5 | 电话归属地助手 |
| sniper.ChildSong | 1.6 | 儿歌动画大全 |
| com.rovio.scn.baba | 2.1.1 | 愤怒的小鸟2 |
| com.appjourney.fuqi | 2.0.1 | 夫妻床头话 |
| com.autonavi.amap | 7.3.8 | 高德地图 |
| com.stockradar.radar1 | 5.6 | 股票雷达 |
| cn.com.10jqka.TheStockMarketHotSpots | 2.40.01 | 股市热点 |
| com.jianshu.Hugo | 2.9.1 | Hugo |
| com.wdj.eyepetizer | 1.8.0 | Eyepetizer |
| com.iflytek.recinbox | 1.0.1083 | 录音宝 |
| com.maramara.app | 1.1.0 | 马拉马拉 |
| com.intsig.camcard.lite | 6.5.1 | CamCard |
| com.octInn.br | 6.6.0 | BirthdayReminder |
| com.chinaunicom.mobilebusiness | 3.2 | 手机营业厅 |
| cn.12306.rails12306 | 2.1 | 铁路12306 |
| cn.com.10jqka.IHexin | 9.53.01 | 同花顺 |
| cn.com.10jqka.IphoneIJiJin | 4.20.01 | 同花顺爱基金 |
| cn.com.gypsii.GyPSii.ITC | 7.7.2 | 图钉 |
| com.netease.videoHD | 10019 | 网易公开课 |
| com.netease.cloudmusic | 2.8.3 | 网易云音乐 |
| com.tencent.xin | 6.2.5 | 微信 |
| com.tencent.mt2 | 1.10.5 | 我叫MT 2 |
| com.gemd.iting | 4.3.8 | 喜马拉雅FM |
| com.xiachufang.recipe | 48 | 下厨房 |
| cn.com.10jqka.ThreeBoard | 1.01.01 | 新三板 |
| com.simiao-internet.yaodongli | 1.12.0 | 药给力 |
| com.gaeagame.cn.fff | 1.1.0 | 自由之战 |
表 1:部分暗藏 XcodeGhost 程式碼的應用程式。
推播應用程式
面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。
受害國家和地區
根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。
圖 5:受害的國家。
趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。
原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載