手機病毒/手機平板行動安全 - 資安趨勢部落格

美國 BlackHat 大會上討論的三個行動漏洞：Android的「master key」漏洞，SIM卡和iPhone充電器漏洞

2013 年 08 月 13 日2013 年 08 月 13 日趨勢科技 TrendMicro

雖然大部分行動威脅都是以惡意或高風險應用程式的形態出現，行動設備還是會被其他威脅所擾。比方說三星Galaxy設備上所出現的臭蟲和OBAD惡意軟體可以利用漏洞來提升權限。不幸的是，這些並不是行動用戶所需要警惕的唯一漏洞。

就在最近的美國BlackHat大會上，有三個漏洞被討論著：Android的「master key」漏洞，SIM卡和iPhone充電器的漏洞。

「master key」漏洞最初被報導會影響99％的Android行動設備。這和Android應用程式如何被簽章有關，可能會讓攻擊者不用開發者的簽章金鑰就可以更新已安裝的應用程式。利用這漏洞，攻擊者可以將正常應用程式更換成惡意軟體。當我們的研究人員發現一起攻擊利用這漏洞的去更新並木馬化銀行應用程式。我們親眼看到這個影響會有多大

另一方面，第二個行動設備弱點是多數SIM卡所用的舊加密系統。想利用這漏洞，攻擊者只需發送會故意產生錯誤的簡訊。結果就是SIM卡會回應包含56位元安全金鑰的錯誤代碼。這金鑰可以讓攻擊者用來發送簡訊給設備，以觸發下載惡意Java程式，可以用來執行一些惡意行為，像是發送簡訊，監控手機位置。

跟「master key」漏洞不同的是，SIM卡漏洞可能會影響更多的使用者，因為它並不限定作業系統。此外，由於所述威脅是因為使用舊的解密方式，更新SIM卡以使用較新解密功能對電信業者來說可能會被認為不切實際而昂貴。繼續閱讀

近千萬人下載的南韓知名網銀 APP,遭Android 的 Master Key 漏洞攻擊

2013 年 08 月 12 日2013 年 10 月 07 日趨勢科技 TrendMicro

本月稍早，我們在部落格上說明了 Android 的 Master Key (金鑰) 漏洞，此漏洞可讓網路犯罪者將使用者裝置上所安裝的正常 App 程式「更新」為暗藏其惡意程式碼的版本。自從該漏洞出現以來，趨勢科技即一直密切觀察是否有任何利用此漏洞的威脅，現在我們發現了一個這樣的程式，其目標是南韓 NH Bank 網路銀行的 App 程式。

NH Nonghyup Bank (農協銀行) 是南韓最大的金融機構之一，其網路銀行 App 程式在行動裝置用戶之間使用頗為廣泛，目前安裝次數已達 500 萬至 1,000 萬之間。

歹徒看上該程式的熱門程度，在第三方 App 程式下載網站上提供了一份更新程式供人下載。當然，這份更新是惡意程式。此程式利用了 Android 的 Master Key 漏洞，在 App 程式內插入了一個惡意檔案，將它「木馬化」。

案藏惡意程式碼的「classes.dex」檔案比正常的版本小，只有 205 KB。

網路犯罪者也製作了一個該銀行 App 程式的木馬化版本，目的是要在使用者裝置尚未安裝該程式時派上用場。惡意的 App 程式在執行時會顯示一個假冒的頁面，要求使用者輸入帳號資訊。

木馬化的銀行 App 程式執行時會顯示的頁面。

一旦使用者輸入資料並確認，資料就會傳送至歹徒操控的遠端惡意伺服器。繼續閱讀

Google Play 出現假的植物大戰殭屍2( Plants vs. Zombies 2)

2013 年 08 月 01 日2014 年 04 月 02 日趨勢科技 TrendMicro

當 PopCap 在二〇一〇年推出了 iOS 版的植物大戰殭屍( Plants vs. Zombies )，接著在二〇一一年推出 Andorid 版本時，這款遊戲聚集了大量的人氣。現在，隨著它的下一代即將發佈（在澳洲和紐西蘭搶先上架），網路犯罪分子也已經開始在利用這股熱潮。

趨勢科技發現了一個問卷調查詐騙網站，代管在Blogger上，並且連結到YouTube視頻網頁。這個網站被認為是典型的問卷調查詐騙網站，而沒有用到惡意軟體。

之後，趨勢科技發現了更多和植物大戰僵屍2( Plants vs. Zombies 2)有關的威脅。趨勢科技光在Google Play上就發現了超過七個相關威脅（假應用程式，或號稱可以下載這軟體的下載軟體）。其中一個被偵測出會派送惡意廣告給使用者的假應用程式。它被偵測為ANDROIDOS_FAKEZOMB.A。趨勢科技預計在未來幾天內會發現更多威脅。

Google一直以快速處理Google Play內所發現的威脅而受到好評，但直到寫這篇文章為止，所有的這些假應用程式都自己從網站上移除，假「開發者」停止提供下載。類似的詐騙活動也都在應用程式出現在商店後廿四小時內暫時停止了。

這些威脅的存在和它們背後的社交工程陷阱( Social Engineering)並非是什麼新東西，我們在過去已經報導過許多類似的事件，像是之前曾經被針對的遊戲 – Candy Crush、壞蛋豬和Temple Run。但這裡要注意的是，我們所看到的假應用程式都出現在Google Play上的這股新模式。像是：

利用已經出現在iOS App Store上而尚未出現在Google Play的受歡迎或即將推出的熱門遊戲應用程式續集
假應用程式會要求先給予五星級評等和評論後才可以「玩」
假應用程式都是免費的，相反地，合法應用程式會收費繼續閱讀

從 Windows 到 Android：威脅的持續遷移

2013 年 07 月 25 日2013 年 07 月 23 日趨勢科技 TrendMicro

新聞媒體現在正喧騰著OBAD,這個Android惡意軟體，也是到目前為止，Android惡意軟體中「最壞」也「最先進的Android木馬程式」。除了它所增強的能力之外，它同時也因為所展示行為更像典型Windows惡意軟體而被議論著。

歷史一再重演

在趨勢科技的2012年行動威脅和安全綜合報告裡，我們討論了Android威脅趨勢和Windows平台是如何的相像，只是以更快的腳步。OBAD的出現也意味著這趨勢持續到了2013年。

圖一：比較Android和Windows惡意軟體的時間表

我們同時也注意到最近手機惡意軟體的複雜度，無論是在技術上或部署上都加強許多。這也證實了我們2013年的安全預測。

新興的威脅

OBAD

OBAD結合了隱形和漏洞攻擊，再加上舊的手法。它首先以不斷跳出視窗的方式騷擾使用者來要求root和設備管理員權限。一旦被授予權限，惡意軟體就會在隱形模式下運作。

它可以執行以下行為：

連上一個命令與控制（C＆C）伺服器
收集使用者的聯絡人列表、通話記錄、簡訊和安裝應用程式列表
下載並安裝軟體
透過藍牙散播惡意軟體

OBAD的散播方法值得注意，因為它使用了藍牙，這在Symbian惡意軟體行為內比較常見。重新使用這舊伎倆顯示出網路犯罪份子的散播途徑已經不再完全依賴於透過應用程式商店來下載惡意軟體。

假防毒軟體

雖然桌上型電腦和筆記型電腦上的假防毒軟體攻擊正在減少，但是在行動設備卻在增加中。就跟一般電腦上的假防毒軟體一樣，ANDROIDOS_FAKEAV.F會出現假的掃描結果。催促使用者去付費購買所謂的完整版行動安全軟體才能退出程式。

圖二：假防毒軟體顯示假的掃描結果來說服你購買完整版本的流氓防毒軟體

繼續閱讀

發現影響 99% Android 裝置的漏洞：趨勢科技行動安全用戶已安全無虞

2013 年 07 月 23 日2013 年 07 月 23 日趨勢科技 TrendMicro

稍早資訊安全研究人員披露了一個新的 Android 手機漏洞，該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響，因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在，目前僅有 Samsung Galaxy S4 修正了這項問題。

此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注，但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者，但我們還是要特別在此澄清一下這到底是怎麼回事，這是什麼樣的威脅，以及使用者該做些什麼。

什麼是「Master Key」金鑰漏洞？

此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章，用來證明該程式「的確」來自於該廠商，並且在傳送的過程當中從未被竄改。當 App 有新的版本時，除非新的版本也有來自於同一開發廠商的數位簽章，否則就無法更新。

此漏洞正是和這最後一個步驟有關。研究人員發現，歹徒即使「沒有」原始開發廠商的簽署金鑰，也能更新系統已安裝的 App 程式。簡而言之，任何已安裝的程式都可能被更新成惡意版本。

請注意，就技術而言，並沒有所謂的金鑰遭到外洩。當然，任何 App 程式都可能被竄改並用於惡意用途，但這當中並不是因為「金鑰」外洩。

有何風險？

此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式，如手機製造商或電信業者提供的 App 程式，尤其容易成為目標。

這類程式一旦進入裝置，它們的行為就像任何惡意 App 程式一樣，只不過使用者會以為它們是完全正常的程式。例如，一個遭到竄改/木馬化的網路銀行 App 程式，還是能夠像往常一樣運作，但使用者輸入的帳號密碼可能就會被歹徒所竊取。

使用者如何保護自己？

趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式，但目前尚未發現任何這類程式。儘管如此，我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼，確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞，所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。

趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。繼續閱讀