近千萬人下載的南韓知名網銀 APP,遭Android 的 Master Key 漏洞攻擊

2013 年 08 月 12 日2013 年 10 月 07 日趨勢科技 TrendMicro

本月稍早，我們在部落格上說明了 Android 的 Master Key (金鑰) 漏洞，此漏洞可讓網路犯罪者將使用者裝置上所安裝的正常 App 程式「更新」為暗藏其惡意程式碼的版本。自從該漏洞出現以來，趨勢科技即一直密切觀察是否有任何利用此漏洞的威脅，現在我們發現了一個這樣的程式，其目標是南韓 NH Bank 網路銀行的 App 程式。

NH Nonghyup Bank (農協銀行) 是南韓最大的金融機構之一，其網路銀行 App 程式在行動裝置用戶之間使用頗為廣泛，目前安裝次數已達 500 萬至 1,000 萬之間。

歹徒看上該程式的熱門程度，在第三方 App 程式下載網站上提供了一份更新程式供人下載。當然，這份更新是惡意程式。此程式利用了 Android 的 Master Key 漏洞，在 App 程式內插入了一個惡意檔案，將它「木馬化」。

案藏惡意程式碼的「classes.dex」檔案比正常的版本小，只有 205 KB。

網路犯罪者也製作了一個該銀行 App 程式的木馬化版本，目的是要在使用者裝置尚未安裝該程式時派上用場。惡意的 App 程式在執行時會顯示一個假冒的頁面，要求使用者輸入帳號資訊。

木馬化的銀行 App 程式執行時會顯示的頁面。

一旦使用者輸入資料並確認，資料就會傳送至歹徒操控的遠端惡意伺服器。繼續閱讀

Google Play 出現假的植物大戰殭屍2( Plants vs. Zombies 2)

2013 年 08 月 01 日2014 年 04 月 02 日趨勢科技 TrendMicro

當 PopCap 在二〇一〇年推出了 iOS 版的植物大戰殭屍( Plants vs. Zombies )，接著在二〇一一年推出 Andorid 版本時，這款遊戲聚集了大量的人氣。現在，隨著它的下一代即將發佈（在澳洲和紐西蘭搶先上架），網路犯罪分子也已經開始在利用這股熱潮。

趨勢科技發現了一個問卷調查詐騙網站，代管在Blogger上，並且連結到YouTube視頻網頁。這個網站被認為是典型的問卷調查詐騙網站，而沒有用到惡意軟體。

之後，趨勢科技發現了更多和植物大戰僵屍2( Plants vs. Zombies 2)有關的威脅。趨勢科技光在Google Play上就發現了超過七個相關威脅（假應用程式，或號稱可以下載這軟體的下載軟體）。其中一個被偵測出會派送惡意廣告給使用者的假應用程式。它被偵測為ANDROIDOS_FAKEZOMB.A。趨勢科技預計在未來幾天內會發現更多威脅。

Google一直以快速處理Google Play內所發現的威脅而受到好評，但直到寫這篇文章為止，所有的這些假應用程式都自己從網站上移除，假「開發者」停止提供下載。類似的詐騙活動也都在應用程式出現在商店後廿四小時內暫時停止了。

這些威脅的存在和它們背後的社交工程陷阱( Social Engineering)並非是什麼新東西，我們在過去已經報導過許多類似的事件，像是之前曾經被針對的遊戲 – Candy Crush、壞蛋豬和Temple Run。但這裡要注意的是，我們所看到的假應用程式都出現在Google Play上的這股新模式。像是：

利用已經出現在iOS App Store上而尚未出現在Google Play的受歡迎或即將推出的熱門遊戲應用程式續集
假應用程式會要求先給予五星級評等和評論後才可以「玩」
假應用程式都是免費的，相反地，合法應用程式會收費繼續閱讀

從 Windows 到 Android：威脅的持續遷移

2013 年 07 月 25 日2013 年 07 月 23 日趨勢科技 TrendMicro

新聞媒體現在正喧騰著OBAD,這個Android惡意軟體，也是到目前為止，Android惡意軟體中「最壞」也「最先進的Android木馬程式」。除了它所增強的能力之外，它同時也因為所展示行為更像典型Windows惡意軟體而被議論著。

歷史一再重演

在趨勢科技的2012年行動威脅和安全綜合報告裡，我們討論了Android威脅趨勢和Windows平台是如何的相像，只是以更快的腳步。OBAD的出現也意味著這趨勢持續到了2013年。

圖一：比較Android和Windows惡意軟體的時間表

我們同時也注意到最近手機惡意軟體的複雜度，無論是在技術上或部署上都加強許多。這也證實了我們2013年的安全預測。

新興的威脅

OBAD

OBAD結合了隱形和漏洞攻擊，再加上舊的手法。它首先以不斷跳出視窗的方式騷擾使用者來要求root和設備管理員權限。一旦被授予權限，惡意軟體就會在隱形模式下運作。

它可以執行以下行為：

連上一個命令與控制（C＆C）伺服器
收集使用者的聯絡人列表、通話記錄、簡訊和安裝應用程式列表
下載並安裝軟體
透過藍牙散播惡意軟體

OBAD的散播方法值得注意，因為它使用了藍牙，這在Symbian惡意軟體行為內比較常見。重新使用這舊伎倆顯示出網路犯罪份子的散播途徑已經不再完全依賴於透過應用程式商店來下載惡意軟體。

假防毒軟體

雖然桌上型電腦和筆記型電腦上的假防毒軟體攻擊正在減少，但是在行動設備卻在增加中。就跟一般電腦上的假防毒軟體一樣，ANDROIDOS_FAKEAV.F會出現假的掃描結果。催促使用者去付費購買所謂的完整版行動安全軟體才能退出程式。

圖二：假防毒軟體顯示假的掃描結果來說服你購買完整版本的流氓防毒軟體

繼續閱讀

發現影響 99% Android 裝置的漏洞：趨勢科技行動安全用戶已安全無虞

2013 年 07 月 23 日2013 年 07 月 23 日趨勢科技 TrendMicro

稍早資訊安全研究人員披露了一個新的 Android 手機漏洞，該漏洞可能讓已安裝的 App 程式在使用者不知情的狀況下遭到竄改。幾乎所有的 Android 裝置都受到影響，因為此漏洞從 Android 1.6 (甜甜圈) 版本即已存在，目前僅有 Samsung Galaxy S4 修正了這項問題。

此漏洞 (有人稱之為「Master Key」金鑰漏洞) 吸引了大批媒體關注，但並非所有的媒體報導都正確。趨勢科技已經更新了「趨勢科技行動安全防護for Android中文版」來保護我們的使用者，但我們還是要特別在此澄清一下這到底是怎麼回事，這是什麼樣的威脅，以及使用者該做些什麼。

什麼是「Master Key」金鑰漏洞？

此漏洞與 Android App 程式的簽署方式有關。所有的 Android App 程式都內含一個開發廠商提供的數位簽章，用來證明該程式「的確」來自於該廠商，並且在傳送的過程當中從未被竄改。當 App 有新的版本時，除非新的版本也有來自於同一開發廠商的數位簽章，否則就無法更新。

此漏洞正是和這最後一個步驟有關。研究人員發現，歹徒即使「沒有」原始開發廠商的簽署金鑰，也能更新系統已安裝的 App 程式。簡而言之，任何已安裝的程式都可能被更新成惡意版本。

請注意，就技術而言，並沒有所謂的金鑰遭到外洩。當然，任何 App 程式都可能被竄改並用於惡意用途，但這當中並不是因為「金鑰」外洩。

有何風險？

此漏洞可讓歹徒將 Android 裝置上原本正常的 App 程式換成惡意程式。一些擁有許多裝置權限的 App 程式，如手機製造商或電信業者提供的 App 程式，尤其容易成為目標。

這類程式一旦進入裝置，它們的行為就像任何惡意 App 程式一樣，只不過使用者會以為它們是完全正常的程式。例如，一個遭到竄改/木馬化的網路銀行 App 程式，還是能夠像往常一樣運作，但使用者輸入的帳號密碼可能就會被歹徒所竊取。

使用者如何保護自己？

趨勢科技已經更新了「行動裝置應用程式信譽評等」資料庫來偵測專門攻擊這項漏洞的 App 程式，但目前尚未發現任何這類程式。儘管如此，我們已針對「趨勢科技行動安全防護」釋出了最新的病毒碼，確保我們能夠偵測專門攻擊此漏洞的 App 程式。(使用者只要更新到 1.513.00 或更新版本的病毒碼就能安全無虞，所有攻擊此漏洞的 App 程式都將偵測為 Android_ExploitSign.HRX。) 如此已足夠確保我們的使用者不受此威脅影響。

趨勢科技強烈建議使用者關閉安裝非 Google Play 來源應用程式的功能。這項設定在 Android 系統「設定」當中的「安全性」設定內。繼續閱讀

行動隱私的4W和1H

2013 年 07 月 03 日2014 年 02 月 10 日趨勢科技 TrendMicro

這篇下載APP軟體　信用卡遭盜刷16筆報導指出台北市1名30歲陳姓男子，凌晨接獲信用卡刷卡通知，在10分鐘內遭盜刷16筆，共6869元的消費金額，陳先生嚇的立即報案。
以下這篇文章教你如何保護行動隱私

你已經玩了手上的新玩意好幾天了，發送電子郵件、下載應用程式、瀏覽Facebook等一些諸如此類的事情。突然間，那些討厭的彈跳視窗就佔領了你的畫面。

這是個和你現在所做事情完全不相干的產品網頁。但你記得之前看到這頁面。可能是因為你曾經搜尋過它，但為什麼突然間它會自動幫你搜尋？

這只是個隱私被侵犯的例子，即便你只是在用行動設備。你會做些什麼來保護自己的隱私，對抗這類的行動威脅？

Who？

你和你的權力之於行動隱私

聯合國認為隱私是每個人的固有權利。^註1每當有人試圖存取你的個人資訊，就會侵犯到這權利，不管是任何形式或平台，只要未經法律程序或你的同意。比方說，如果有朋友借用你的智慧型手機來偷看你的Facebook帳號，他或她就侵犯了你的隱私。

網路犯罪份子對於侵犯行動隱私已經是惡名在外了。他們開發類似資料竊取程式的惡意應用程式，將目標放在你的個人和財務資訊。免費而高風險的應用程式也造成了些隱私問題，因為它們所收集資訊的數量和類型。比方說，一些德國熱門的Android應用程式可能會洩漏你的位置，設備認證資訊和通訊錄。^註2

What？
要注意的重點區域

你設備的連線功能

你設備的連線功能讓網路犯罪分子能夠從你身上獲取資訊。這些功能就像是個鎖上的門，他們要想辦法打開進去。像藍牙和無線網路這兩個例子，它們的目的都是為了讓通訊更加方便，但它們也可能被用在惡意用途上。網路犯罪分子已經在Mac電腦上利用INQTANA蠕蟲做到這一點，它可以發送惡意檔案到接受的藍牙設備上。這個蠕蟲程式會讓電腦面臨更多的惡意後果，像是惡意軟體和資訊竊取。

越來越多製造商也正在將近距離無線通訊（NFC）標準加到設備上。這項技術可以讓你分享內容、進行付費動作或是輕觸一個掃描器來執行其他外部交易。就像聽起來那樣的方便，讓它也可能成為惡意行為的入口。^註3

你的設備設定

對於預設系統設定的強烈建議就是，你可以進一步最佳化它以增強保護。這代表你可以改變行動設備的安全設定，確保不會有人可以輕易地去存取它。

你的行動行為

有了行動設備會讓你更頻繁地逛網路，但當它牽涉到安全性時，它有改變你的行為嗎？請記住，你面對行動威脅時會變得更加脆弱，當你沉浸在手機活動，像是社群網路、購物和銀行時。過分分享、不檢查應用程式權限和點擊惡意連結都是在對網路犯罪份子的邀請。

提到使用應用程式，你必須要小心行動廣告軟體。雖然大多數廣告網路是完全合法的，但有一些已知會收集個人資訊和將廣告以通知的方式派送，往往都沒有經過使用者的同意。^註4

至少有7000個免費應用程式使用了侵略性廣告模組，直到2012年10月為止，被下載了超過100萬次。