手機病毒/手機平板行動安全 - 資安趨勢部落格

《 IoT 物聯網安全趨勢》行動安全和物聯網：智慧型手機成為遠端控制中心的問題

2014 年 08 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

自從手機熱潮開始，智慧型手機已經成為我們生活中不可或缺的一部分，它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人，也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係，也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞，智慧型手機已經成為我們日常生活必備工具的重要部分。

隨著改變之風吹起，智慧型手機似乎會成為我們生活中更重要的一部分，而這和物聯網有關。當iOS 8推出時，Apple同時介紹了HomeKit，這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit，使用者可以將安裝在一個房間裡的設備都群組起來，對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定，不管是房間到房間或更加細微的設定。在本文撰寫時，Google還沒有提供對應的產品，但我們在未來的日子裡一定會看到。

隨著這樣的發展，我們已經可以預期它會成為下一件大事情，不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時，什麼是最便利的，和老實說 – 最令人興奮的部分？像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

但這只是硬幣的一面。另一面，不幸的，將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備，進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務？已經有了。網路犯罪份子透過你的手機駭入你的保安系統，將其關閉好讓他們可以搶你？這很有可能發生！

物聯網（IoT ,Internet of Things）是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家，大多數（如果不是全部）家電不僅可以連到網路上，也可以透過一中央控制中心來實現全面的控制和自動化，無論我們身在哪裡（或至少，只要我們可以連網。）

然而，不管如何令人興奮，我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術（智慧型電視、智慧型家電等），有可能遭受和今日行動設備相同的安全問題。

還有一個事實就是，行動設備（尤其是智慧型手機）可能很快就會成為我們住家的「中央控制中心」，因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說，最近所推出的iOS8 Homekit，宣稱可以完全控制住家和內部所有的網路設備，而且可以讓使用者輕易地根據所在房間來群組設備。

那麼想想看，這對物聯網（IoT ,Internet of Things）會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想，而是可能發生的現實場景。行動設備已經趕上了個人電腦，成為最被針對的平台。所以毫無疑問的，網路犯罪份子會找到方法來開發此新領域的財路。

可能出現的風險

使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家：

作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機，進而可以控制自動化住家，像是關閉保全系統，甚至監視家人活動來進而勒索或資料竊取。
應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心，或防止惡意軟體被偵測或移除。
行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
高風險應用程式 – 這應用程式不一定是惡意軟體，但被編寫來收集和儲存資料，可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
實體遺失/被竊/破壞 – 智慧型手機（也就是控制中心）的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統，也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性，還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀，這都要花費寶貴的時間和資源。
不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。

我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭，後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備，也可能竊取資料。

一個情境例子：使用者在上班，遠離了他的自動化住家，將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是，網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式，有效地將其木馬化，但仍然讓它保留正常使用狀態。繼續閱讀

4.7 分評價,下載達萬次的熱門app ,為何被 Google Play 下架?

2014 年 08 月 22 日2014 年 08 月 22 日趨勢科技 TrendMicro

隨著行動裝置使用者數量不斷成長，針對使用者而開發的 App 程式亦然。然而，網路犯罪者總是追著錢跑，因此專門鎖定行動裝置和行動使用者的攻擊數量也將不斷增加。這正是為何行動裝置威脅越來越多，包括惡意程式和假 App 程式。事實上，在正牌的行動 App 程式或 PC 程式推出之後，通常很快就能發現冒牌的 App 程式。

本文深入探討今日的假 App 程式，特別是重新包裝的 App 程式 ─ 這些遭到篡改 (如插入或刪除程式碼) 的 .APK 檔案，通常含有未來可從事惡意用途的功能。1 冒牌的 App 程式通常使用與對應正牌程式非常相似的使用者介面 (UI)、程式圖示和名稱。這些程式通常出現在第三方應用程式來源，例如網路論壇和網站，有些甚至也出現在 Google Play™ 官方網站。這些程式會在被檢舉為惡意程式或侵權軟體之前盡可能供更多人下載。為了散布，網路犯罪者通常會利用各種社交工程（social engineering ）技巧來誘騙使用者下載假 App 程式。

假 App 程式,冒充正牌程式,50% 都有惡意行為

根據一項針對 Google Play 商店前 50 大熱門免費 App 程式的調查顯示，幾乎 80% 的程式都有對應的假冒版本 (參見圖 1)。這些 App 程式在 Google Play 上涵蓋了相當廣泛的類別，包括：商業、媒體與影片、遊戲等等。

圖 1：在 Google Play 上擁有和沒有對應假冒版本的 App 程式。

個別 Google Play 類別前十大熱門程式有假冒版本的比例如下 (參見圖 2)：

圖 2：個別 Google Play 類別熱門 App 程式分析。

假 App 程式通常不單只是模仿正牌的 App 程式而已，更可能是高風險程式或惡意程式。

截至今年四月為止，在我們從各種來源發現的 890,482 個假 App 程式樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式。在所有假 App 程式當中，有 50% 以上懷有惡意 (參見圖 3)。

圖 3：所有假 App 程式當中惡意與非惡意的比例。

假冒 Bitdefender的假防毒軟體:

假裝掃瞄宣稱裝置受到感染，藉此誘騙使用者購買完整付費版本

假防毒軟體可說是行動裝置威脅當中最常見的假 App 程式，例如 2012 年早期出現、專門攻擊 Android 裝置的 FAKEAV。緊接著 2013 年又爆發了另一波行動裝置的 FAKEAV 惡意程式，例如假冒 Bitdefender® 的 ANDROIDOS_FAKEAV.F 變種 (參見圖 4)。3 這個假App 程式假冒 Bitdefender 的名義，要求使用者在安裝時使用系統管理員權限來安裝，如此一來就更難移除。如同電腦上的假防毒軟體一樣，該程式會假裝掃瞄裝置，然後宣稱裝置受到感染，藉此誘騙使用者購買其完整付費版本。
圖 4：ANDROIDOS_FAKEAV.F 運作畫面。

獲得 4.7 分評價的假防毒軟體「Virus Shield」，累計下載次數高達 10,000 次，原來是殭屍電腦下載的

較近期的假防毒軟體案例是前一陣子的「Virus Shield」，該程式還獲得 4.7 分的評價，而且累計下載次數高達 10,000 次，其中大部分都是殭屍電腦所為。此程式早已被 Google 下架。

不過，仍有數千人受其專業的外表以及宣稱的功能所騙，例如：防止裝置安裝惡意
App 程式、可即時掃瞄 App 程式、設定、檔案及多媒體內容、保護個人資訊安全等等。它甚至還登上 Google Play 熱門付費程式排行榜，售價 $3.99 美元 (參見圖 5 和圖 6)。但在經過深入研究之後，其宣稱的所有功能都是假的，因此是個不折不扣的假防毒軟體。

圖 5：Virus Shield 在 Google Play 上的購買畫面。
圖 6：Virus Shield 在下架之前確實曾經登上 Google Play 熱門付費程式排行榜。繼續閱讀

支付寶 Android 應用程式出現漏洞

2014 年 08 月 15 日2014 年 08 月 15 日趨勢科技 TrendMicro

支付寶是中國主流的第三方支付平台，來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚（Phishing）攻擊以竊取支付寶認證。

第一個漏洞：輸出活動

Android應用程式有幾個重要的部分，其中之一是活動（Activity）。這有一個重要的屬性，android:exported。如果此屬性設定為「true」時，安裝在同一設備上的每個應用程式都可以調用這個活動（Activity）。開發者應該要小心，讓自己輸出的活動（Activity）不被濫用。

趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動（Activity）可被用來增加一個支付寶護照（稱為Alipass）。使用一特別建立Alipass的攻擊者可以用此活動（Activity）來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚（Phishing）網頁或顯示QR碼。在該活動（Activity）啟動前，使用者會被要求輸入支付寶解鎖密碼，這讓使用者相信該登錄畫面確實來自支付寶。

圖1、活動（Activity）所提供的網路釣魚網址

第二個漏洞：惡意的權限

前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中，惡意應用程式在目標應用程式前安裝，取得目標應用程式的客製化權限和能存取該權限所保護的組件。

支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。

當一個惡意應用程式被給予PUSHSERVICE權限，攻擊者可以輕易地假造此一訊息，並將其送到RecvMsgIntentService以推送更新通知給使用者。

圖2、攻擊漏洞的測試通知

圖3、要求安裝惡意程式的通知。繼續閱讀

Google Play上前 50 的免費應用程式,近 80％應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014 年 08 月 14 日2015 年 12 月 03 日趨勢科技 TrendMicro

【2014年8月14日台北訊】隨著行動裝置使用者數量不斷成長，山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示，高達80% 應用程式皆有對應的假冒版本，其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%！趨勢科技建議，為避免行動裝置威脅，使用者請務必從信任的來源下載程式，並安裝有信譽的行動防護程式如趨勢科技『安全達人』免費App，以保障自身的行動裝置安全。

趨勢科技研究發現，截至2014年四月，在890,482 個山寨App樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式；而在所有山寨App 中，有 50% 以上懷有惡意。目前山寨版App可分為兩大類型，其一為「假 App 」，其中又以假防毒App為最大宗。以「Virus Shield」為例，號稱可即時掃描、保護個資，售價3.99美元，曾在Google Play獲得 4.7 分的評價，上線一周即吸引超過一萬次下載量，但該App遭踢爆不具備任何防護功能，經查證下載量多為殭屍電腦操縱成果，縱使被 Google 下架，卻仍造成數千人受騙並造成金錢損失。

圖 1：Virus Shield 在 Google Play 上的購買畫面。

山寨App另一類型則為「重新包裝的 App 」，仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法，將 App 程式重新包裝從事惡意用途，已逐漸成為網路攻擊常態，其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例，累計下載次數突破5,000 萬次，該遊戲的突然下架引發網友大量討論，吸引網路犯罪者推出「Flappy Bird」木馬化版本；其中一個木馬化版本會要求使用者允許開發者發送簡訊，導致使用者電信通訊費用帳單因而突然飆高。

圖 2：木馬化 Flappy Bird 發送的高費率簡訊範例。

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除，並換上木馬化版本，竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊，造成使用者重大損失。

圖 3：南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM)，在 BlackBerry 將其程式上架至Google Play 之前，網路上竟然出現一些木馬化的 BBM 版本，利用 Android 版 BBM 即將上市的預期心理，讓其重新包裝的程式獲得 100,000 次下載；然而這些程式會出現越權廣告程式的行為，因此遭 Google Play 下架。

圖 4：假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示：「在山寨App中，有相當大的數量為內藏有惡意程式，不僅容易引發個資外洩，更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能，可協助阻擋用戶下載具有惡意威脅的應用程式，為用戶的手機資安做最全面把關！」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝（Repackaged）的應用程式是一種假應用程式，它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣，重新包裝應用程式利用社交工程伎倆，顯示出想偽造的正常/官方版本類似的使用者界面（UI）、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。

根據研究，Google Play上前50的免費應用程式中有近80％有偽造的版本。這些應用程式包括了商業、多媒體和影片、遊戲等類別。此外，今日有超過一半的假應用程式被標示為「高風險」和「惡意」，因為它會對使用者造成危害。

圖一：在Google Play上有偽造版本和沒有偽造版本的免費應用程式

繼續閱讀

網路銀行所面臨的挑戰：當使用者被誘騙在手機上安裝惡意軟體….

2014 年 08 月 08 日2014 年 08 月 05 日趨勢科技 TrendMicro

歐洲網路犯罪份子和他們用來在全球34間銀行吸錢的迂迴手法已經被揭露了。這起前所未見，會破解多因子認證的跨平台攻擊（電腦和手機） – Emmental行動專注於進階技巧來繞過各金融單位增強的身份認證機制。這些單位似乎已經提供帳戶額外的保護。

首先，全球的金融機構應該被鼓勵而不是被指責，因為他們努力地實施了多因子認證（MFA）。大多數的消費者只希望能夠輕鬆地按一個鈕就能夠完成交易。從歷史的角度看，多因子認證一直是簡化網路銀行使用者體驗的限制之一。值得說明的是，這一切的惡意活動都發生在銀行自身的範圍外，完全是因為操控了受害者的設備。銀行現在必須檢視他們的網路和行動銀行身份驗證機制，假設有多個使用者設備出現問題？這不是個簡單的任務。繼續閱讀