手機病毒/手機平板行動安全 - 資安趨勢部落格

了解Google Bouncer

2012 年 08 月 15 日2012 年 08 月 13 日趨勢科技 TrendMicro

自2011年底，Android惡意軟體的數量就開始呈現爆炸性的成長。為了讓惡意應用程式消失於官方的Android應用程式商店（現在稱為Google Play），Google在今年二月推出了一個代號為Bouncer的安全服務。

Bouncer會默默地利用它的信譽評比引擎和雲端架構來自動掃描Google Play內的應用程式（包括新上傳和之前的）和開發者帳號。根據Google表示，Bouncer可以讓應用程式商店內的惡意應用程式數量下降40％。

研究人員發現，Bouncer可以被識別特徵

最近有兩名安全研究人員報告說，Bouncer可以被識別特徵。為了證明這點，他們提交了包含shell code的Android應用程式，讓他們可以在提交的應用程式被分析後，好好觀察Bouncer。這程式碼還會連回研究人員的電腦（phone home）。研究人員已經知道了Bouncer運行環境的部分細節。關於Google Bouncer的部分有趣發現如：

對待你的行動裝置就跟你的電腦一樣。行動軟體是Android手機或是上面資料最容易被人攻擊成功的管道，所以當你下載任何軟體前都要小心謹慎。 — 趨勢科技行動安全防護for Android中文版

Bouncer所使用的模擬器是QUME（模擬硬體平台的軟體）。
Bouncer所有的虛擬手機都用同一個帳號，而且模擬設備上有一個聯絡人和兩張照片。
Bouncer只用五分鐘檢查提交的應用程式。
Bouncer只進行動態分析。這表示應用程式只有在Bouncer運行時做壞事才會被抓到。
Google分配給Bouncer的IP地址範圍顯示被分析的應用程式測試時可以連上網際網路。

繼續閱讀

Android – 更潮就更危險！六個Android 主要威脅與安全守則

2012 年 08 月 10 日2013 年 01 月 10 日趨勢科技 TrendMicro

Android – 更潮就更危險！六個Android 主要威脅與安全守則

你也許不知道你下載的 APP可能做以下的行為:

偷偷用你的手機撥打高費率電話
用你的手機自動點閱搜尋引擎上的廣告
將你手機個資如通訊錄等賣到黑市
監聽 GPS 資料
監聽電話和簡訊
自動開啟手機上的麥克風或相機
有別於 Apple App Store 的嚴密控管，上傳至 Google Play 的 App 程式只需通過簡單的檢查，因此該網站上經常出現一些惡意程式 (儘管 Google 只要一發現任何可疑程式就會將它下架)。

Android – 更潮就更危險！六個Android 主要威脅與安全守則

單月惡意 APP 翻 2 倍:從 10,000 增到 20,0000

Google Android 正快速成為 90 年代的 Windows：在使用者之間非常流行，在網路駭客之間也不遑多讓。最新的統計數據顯示，Android 所占的智慧型手機市場已超過 60%，遠超過 Apple 的 iOS，而其平板電腦亦表現不差，這要歸功於各大廠商 (Samsung、HTC、Acer 等等) 對該平台的投入。

不幸的是，趨勢科技 TrendLabs 的研究人員每天都會發現一些新的惡意程式變種，專門鎖定毫無戒心的使用者，從事竊盜、監聽或盜轉銀行帳戶存款等等。

傳統的一些感染方式當然也可能出現在 Android 裝置上，例如：點選了電子郵件和社交網站上的惡意連結、開啟惡意的附件檔案，或者瀏覽了已遭感染的網站等等，但是，歹徒目前最專注的是惡意 App 程式。光是在最近的一個月中，趨勢科技就發現惡意 App 程式數量增加到 2 倍:從 10,000 增到 20,0000。繼續閱讀

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

2012 年 08 月 03 日2012 年 08 月 03 日趨勢科技 TrendMicro

趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音，讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本，被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。

經過研究，趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本（偵測為ANDROIDOS_TROJMMARKETPLAY.B）和其他樣本比起來，似乎是測試用的版本。我們發現許多測試資訊和代碼，留下讓我們可以找到幕後黑手的線索。

關閉付費彈出視窗,他下載影音等應用程式你買單

現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢，ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP，讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗，並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。

要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知

通常使用者會接到M-Market所傳來的確認簡訊，並要求回覆認證碼。不過在此案例中，惡意軟體會攔截並回覆簡訊，所以受害者並不會察覺。至於驗證碼圖片，惡意軟體會下載圖檔，並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定，包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本（偵測為ANDROIDOS_TROJMMARKETPLAY.A）比起來，這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。變種.B使用資料庫，變種.A則使用檔案來儲存驗證碼。此外，變種.A含有尋找付費影音的程式碼。

繼續閱讀

奧運即時轉播? 19 個網址有毒! 下載奧運相關手機 App,當心閉幕式後帳單暴增

2012 年 07 月 31 日2023 年 05 月 19 日趨勢科技 TrendMicro

即時轉播釣魚網站充斥;回味開幕式影片,網路釣魚虎視眈眈;惡意 APP,下載後帳單破紀錄 …倫敦奧運相關威脅層出不窮

期待已久的 2012 年倫敦奧運正式揭開序幕。除了一些兜售門票的詐騙網站與販售偽造票卡給日本消費者的惡意網站之外，趨勢科技也看到了許多趁此運動盛會佯稱提供即時影音串流的網站。以下摘錄一些網址給大家參考：

奧運即時轉播?19 個網址有毒!

https://olympicsopeningceremony2012live.{BLOCKED}d.com
https://olympicgames2012live.{BLOCKED}d.com
https://olympics-2012-live-stream.tumblr.com
https://olypiccoverage2012.{BLOCKED}d.com
https://{BLOCKED}12openinglivestream.{BLOCKED}d.com
https://{BLOCKED}livestream.epl-schedule.com
https://{BLOCKED}ingceremony2012live.blogspot.com
https://{BLOCKED}ndonolympics2012liveonline.{BLOCKED}g.com
https://{BLOCKED}12olympicsonline.{BLOCKED}log.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}o.com
https://{BLOCKED}ndonolympicsliveonline.tumblr.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}w.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}ner.com
https://{BLOCKED}ympics2012livestreamfree.{BLOCKED}d.com
https://{BLOCKED}donolympics2012liveonline.{BLOCKED}g.com
https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
https://{BLOCKED}peningceremony2012.{BLOCKED}b.com
https://{BLOCKED}urnal.co.uk

搜尋”奧運”,找到便宜奧運門票?!想再度回味開幕式,網路釣魚守株待兔

當使用者搜尋「watch london olympics opening ceremony live」(觀賞倫敦奧運開幕式實況轉播)、「watch london olympics online」(線上觀賞倫敦奧運)、「watch london olympics 2012 live」(觀賞 2012 倫敦奧運實況轉播) 等關鍵字詞時，前述網站將出現在搜尋結果的前幾項，因為駭客使用了所謂的「Black_Hat SEO 搜尋引擎毒化」(簡稱 BHSEO)。