分類: 手機病毒/手機平板行動安全

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

趨勢科技 TrendMicro

 

駭客搶搭熱門應用程式風潮 假冒Instagram和憤怒鳥名義行網路釣魚之實

內含惡意程式自動發送簡訊至特定號碼 使用者電信帳單費用將暴增

熱門Android應用程式再度成為駭客攻擊跳板!

趨勢科技日前發現網路上出現仿冒的Instagram以及「憤怒鳥上太空」的應用程式,使用者下載此兩個假應用程式後,將被植入一惡意程式ANDROIDOS_SMSBOXER.A,此惡意程式要求使用者授權發送應用程式啟用號碼,實際上是發送訊息到駭客指定號碼,進而造成使用者手機帳單費暴增!
此外,該惡意程式亦會自動從特定網站下載不明檔案到受害者手機上,讓受害者的手機暴露於個資外洩的風險中。趨勢科技提醒消費者應安行動安全軟體,以避免成為駭客釣魚的對象
 
圖說:左圖為假冒Instagram之名為釣魚之實的駭客網站;右圖為正版Instagram下載網頁,兩者相 似度極高。
圖說:左圖為假冒Instagram之名為釣魚之實的駭客網站;右圖為正版Instagram下載網頁,兩者相 似度極高。

Facebook在最近宣布了對Instagram的收購案,它是一個頗受歡迎的照片分享手機軟體,約在一個禮拜前也發表了Android上的版本。根據報導,Facebook在上述收購案支付了大約10億美元的現金和股票(6.29億歐元)。

網路犯罪分子也很快地利用起Instagram的受歡迎程度。趨勢科技發現了一個網路釣魚(Phishing)假造的網頁裡包含了惡意版本的Instagram。這個網頁偽裝成Instagram的正常下載頁面。如下圖紅色框框裡是可供點選的下載連結:

假造的網頁裡包含了流氓版本的Instagram。這個網頁偽裝成Instagram的正常下載頁面。紅色框框裡是可供點選的下載連結

 

網路犯罪分子也很快地利用起Instagram的受歡迎程度。趨勢科技發現了一個網路釣魚(Phishing)假造的網頁裡包含了流氓版本的Instagram。這個網頁偽裝成Instagram的正常下載頁面。紅色框框裡是可供點選的下載連結:

繼續閱讀

假Google Play真斂財,擅自訂閱加值服務,衝爆手機帳單

趨勢科技 TrendMicro

Android Market最近剛剛更名為Google Play,馬上就有網路犯罪份子來加以利用了。趨勢科技已經看到有新網域偽裝成Google Play網站,內含會濫用加值服務的手機惡意應用程式。

 

 

惡意網址https://{BLOCKED}AY-google.ru會出現一個俄羅斯Google Play網站。那段話的意思是:「幫Android下載Google Play,Google Play就是之前大家熟知的Android Market,但現在不僅保有原本相當成功的Android Market,還加結合了Google Books的書城,多種格式的電影還有Google Music的音樂。

 

 

在該網站上點選圖檔之後,會被帶到另一個提供可疑Android應用程式的惡意俄羅斯網域。從網址https://{BLOCKED}AY-google.ru下載Google Play應用程式 – Google-play.apk,會指向被偵測ANDROIDOS_SMSBOXER.AB的惡意檔案。連到另一個惡意網址https://{BLOCKED}-api.ru.

  繼續閱讀

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

趨勢科技 TrendMicro

Android Market 上的詐騙越來越多。上星期,趨勢科技談到有一家開發廠商利用常見的應用程式名稱誘騙使用者下載了假冒的程式。在那之前,趨勢科技也在 Android Market 上發現過一個假冒的 Temple Run 應用程式。這一次,我們又發現了 37 個出現類似行為的應用程式。這些是所謂的「粉絲應用程式」(Fan App),也就是說,這些並非由原廠商所開發。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

光是瀏覽這些粉絲應用程式的網頁,趨勢科技就發現了一些奇怪的現象。其開發廠商的網站連結指向的是一些無效的網址,例如某個 .com 網站,一個拼錯字的 Google 網域 (拼成了 googel.com)。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

另一項引起趨勢科技注意的是,所有上述應用程式的畫面抓圖都相同。這些應用程式一旦安裝,就會強迫使用者將它分享到 Facebook (如果有安裝) 並且在 Android Market 上給予評分。此外,它還會不斷透過通知訊息來顯示廣告,並且在受感染裝置的首頁上建立捷徑。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

不過,更嚴重的問題是,這些應用程式會將一些敏感資訊傳送到某個遠端伺服器。傳送的資訊內容包括:作業系統版本、國際行動設備識別碼 (International Mobile Equipment Identity,簡稱 IMEI) 以及電話號碼等等。這些應用程式一旦執行,上述資訊就會立即傳送到遠端伺服器。

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

程式提供了一個關閉廣告的選項。但使用者很可能會錯過或忽略,因為這個選項藏在網站上的應用程式說明頁面。

 

千萬別忽略謝絕打擾的選項

趨勢科技在幾天主動將這些應用程式向 Google 通報。他們的反應很快,立即將這些程式從 Android Market 下架。

然而,從 Android Market 下架並無法完全消除這些應用程式的威脅。網路犯罪者依然會將他們上傳至其他網站,例如第三方應用程式商店、論壇等等。不過,不論網路犯罪者將它們上傳到哪裡,趨勢科技都能偵測出這個 ANDROIDOS_FAKEAPP.SM假冒程式。

很顯然地,在應用程式當中插入頻繁廣告的手法,尤其是與透過搜尋引擎賺錢的相關手段,短期之內應該不會消失。因此,使用者在安裝應用程式時最好提高警覺。如要閱讀更多有關這方面的內容,請參閱我們先前的部落格文章:手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技已經能夠防範這項威脅。不過,使用者教育對於防止行動裝置遭到類似攻擊依然非常重要。如需更多關於行動裝置威脅以及如何保護行動裝置安全的資訊,請至我們的行動裝置威脅資訊站 (Mobile Threat Information Hub)

@原文來源:“Fan Apps” Now Spreading on the Android Market作者:Kervin Alintanahin (威脅分析師)

@延伸閱讀:
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式
惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務
保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

 

 

◎ 歡迎加入趨勢科技社群網站

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技 TrendMicro

 

 

將搜尋貨幣化是行動平台上的新威脅

 

 

 

 

一份報告,提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk,它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P

 

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼,所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑,取得/設定書籤,將手機資料送回它的伺服器(包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系),設定通知,還有設定瀏覽器首頁。

 

趨勢科技認為可以將這應用程式歸類為廣告軟體,因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體(Mobile App Adware)」。一開始它還提供軟體開發套件(SDK),讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的:安裝搜尋捷徑,透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之,它原本是個用來賺錢的廣告服務,讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

 

「行動應用程式廣告軟體」

 

從這點來看,它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡,好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡,這和在桌上平台所做的事情是幾乎一模一樣的。

 

趨勢科技威脅回應工程師Erika Mendoza補充說:「想到廣告網路,我覺得現在很多應用程式都含有類似的程式碼,這種手機廣告軟體算是有侵略性,但是要認定這類惱人行為是否為惡意,仍然取決於使用者。」

 

Lookout Mobile Security研究人員則不認為這種行為是種惡意軟體攻擊,它比較算是「侵略性的廣告網路。」我們同意他們所說的,這本身並不是惡意軟體。但是,這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚,而很久以後才出現影響的。

 

對於安裝應用程式來說,保留安裝時所取得的權限,還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留,好作為重裝時的預設值。在現實裡,有太多應用程式被下載,有各種不同的下載目的,有著各種不同的使用者設定,所以要追查的話實在有太多變數了。

 

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式 繼續閱讀

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

趨勢科技 TrendMicro

趨勢科技最近發現了一個伺服器上代管了大量提供行動惡意軟體的網站,目標針對Android和Symbian作業系統(特別是J2ME平台)。

 這個位在德國的伺服器由一個代管服務供應商所管理,它也是眾所皆知的網路犯罪分子常用服務商。

 趨勢科技總共在這伺服器上發現了1351個網站,而且根據他們散布惡意軟體的手法可以將這些網站分成五大類:

 Android Market應用程式

  • Opera Mini/Phone最佳化應用程式
  • 色情應用程式(這些網站在檢查時無法使用)
  • 應用程式儲存網站
  • 其他(這些網站在檢查時無法使用)

 那些無法使用的網站可能是因為攻擊者還在建置中或是已經停掉了。那些應用程式儲存網站是用來提供其他類網站裡應用程式的功能,所以無法存取。但是那些應用程式還是在的,可以透過Android Market應用程式跟Opera Mini/Phone最佳化應用程式這兩類網站來下載。

 Android Market應用程式的網站看起來就像是個正常的合法網站。會出現流行的應用程式像是:WhatsApp、Facebook、Facebook Messenger,條碼掃描器、Skype、Google地圖、Gmail、YouTube和一些其他的軟體。從這些網站所下載的檔案目前已經被偵測為ANDROIDOS_FAKENOTIFY.A繼續閱讀