Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 Continue reading “Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次”

木馬程式不當取得用戶個資 Android裝置又有惡意程式

趨勢科技資安團隊偵測Android平台時發現廣告木馬程式Xavier內嵌在逾800個手機App中,全數共累積數百萬人次下載,並利用這些App暗中竊取用戶個資。

駭客利用Xavier蒐集和洩漏用戶的裝置資料,硬體面包括製造商、SIM卡製造商、產品名稱裝置ID等,個人化設定像是裝置名稱、使用語言、作業系統版本、已安裝應用程式、Google Play帳號,以及最常使用的電子郵件地址等。除了盜取資訊外,資訊攻擊已進化到讓駭客可以遠端鎖定你的行動裝置並安裝其他應用程式套至裝置內部,造成用戶難以察覺中毒。大多數下載遭Xavier感染App的用戶,都來自東南亞國家。 Continue reading “木馬程式不當取得用戶個資 Android裝置又有惡意程式”

最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

 “想看完整影片?請升級會員 “ 但有些影片,就算升到最高等級,付錢後,還是看不到影片….這是近日一批色情應用程式的技倆 !

激情快播 (SexQvodPlay),AV大片 (AVPlayer),优优快播 (UUQvodPlay),3D快播 (3DQvodPlay),春爱影院 (SexMovie),幻想影院 (DreamMovie),绝密影院 (BannedMovie),AV快播 (AVQvodPlay),成人影院 (AdultMovie)…..這些不肖色情應用程式在亞洲蔓延,這批色情應用程式會產生一大堆廣告,甚至引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊,甚至還會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼,以及裝置的 SIM 卡序號。

若使用者離線,或者應用程式在審查嚴格的地區執行時,應用程式就會假裝成一般正常程式。比如提供「名言佳句」的應用程式。但是,一旦離開”警戒區”,這些應用程式就會露出真面目….

網路上最熱門的賺錢管道之就是色情,不論是合法的色情內容,或是利用色情為餌的各種網路詐騙。去年,趨勢科技發現了一個專門透過色情網站散布的新木馬程式變種:Marcher。前年,歹徒利用熱門色情應用程式為誘餌,入侵了南韓數百萬民眾的手機。

色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店

最近又出現了一波利用這類誘餌的詐騙。我們發現,有大量中文介面的色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店。目前有數十萬個這種 非必要程式 ( Potentially unwanted application 簡稱 PUA) 正透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為,不過會蒐集使用者的敏感資訊,如果在 Android 裝置上,還可攔截使用者的私人簡訊。

趨勢科技發現這類色情應用程式正如火如荼地四處散播,而且如果使用者不在特定地區,它們還會偽裝成正常程式。其背後的散播者 (目前我們在這數十萬個程式背後找出了兩名散播者) 還會假冒知名企業來取得這些不肖程式所需的企業憑證。這些色情應用程式甚至根本無法看到其宣稱的內容,歹徒只是誘騙使用者下載更多應用程式來讓他們賺錢,或者引誘使用者購買 VIP 會員之後就沒有下文。

惡意連結,通常放在色情網站或廣告上

為了散布這些應用程式,歹徒使用了三層式派送架構:惡意連結 (通常放在色情網站或廣告上)、安裝機制 (通常偽裝成正常的應用程式安裝網站)、後台伺服器 (用來製作與存放 PUA)。當使用者點選惡意連結,就會被導向惡意程式安裝機制,接著會出現畫面請使用者下載後台伺服器上的某個應用程式。

圖 1:三層式派送架構:惡意連結–>安裝機制–>後台伺服器。

經由這樣的架構,歹徒很容易將這類程式 散布到各種作業系統。不過,這個機制要能運作,歹徒必須蒐集使用者系統的相關資訊。一旦確定使用者所使用的作業系統之後,就會將使用者導向不同的網址來下載對應的應用程式。

圖 2:歹徒的程式碼會根據不同瀏覽器版本來安裝不同應用程式。

主要分佈在中國大陸,其次為日本和台灣

趨勢科技已發現多個色情網站就是利用 HTTP 重導的方式來散布不同的應用程式。由於此方法成效良好,因此這些不肖應用程式已經蔓延至許多亞洲國家,大多數都是華人地區,原因應該是這些程式都是中文介面:

圖 3:Android 不肖色情應用程式蔓延至許多亞洲國家,台灣排行第三

含有不肖色情應用程式連結的色情網站 Continue reading “數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三”

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”

用 KGDB 來替 Android 除錯的實用技巧

內核(Kernel)除錯功能讓資安研究人員在進行分析時能夠監視和控制設備。在Windows、macOS和Linux等桌面平台上,這很容易進行。但要在Android設備(如Google Nexus 6P)上進行內核除錯則困難得多。在本文中,將介紹一種在Nexus 6P和Google Pixel上進行內核除錯的方法而無須特製的硬體。

Joshua J. Drake和Ryan Smith為此目的打造了一條UART除錯線,效果很好。然而對於不擅長製作硬體的人(像是筆者這樣的軟體工程師)來說,這可能很困難。而替代方案是透過serial-over-usb通道來進行內核(Kernel)除錯 也是可行的。

這個方法可以追溯到2010年,這表示部分介紹已經過時。但我發現的作法可以利用其關鍵要點,然後用在今日的Android設備上。讓研究人員可以使用除錯功能來確認CPU執行的當前狀態,讓分析更加快速。那該如何進行?

Android是用Linux內核打造的,其中包含了內建的內核除錯程式KGDB。KGDB依靠串列埠來連接除錯設備和目標設備。正常情況如下:

圖1、KGDB工作模式

 

目標和除錯設備透過串列線連接。使用者在除錯機上用GDB來附加串列設備檔案(如/dev/ttyS1),指令是target remote /dev/ttyS1。之後,GDB可以通過串列線和目標設備上的KGDB進行溝通。

KGDB核心元件處理實際的除錯工作,像是設置中斷點和取得記憶體內的資料。KGDB I/O元件可以連接KGDB核心元件和低階串列驅動程式以處理除錯資訊傳輸。 Continue reading “用 KGDB 來替 Android 除錯的實用技巧”

假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。 Continue reading “假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動”

《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!

新的 Dirty COW攻擊方式 可讓惡意程式碼直接寫入程序

Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。

Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶

概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式

下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。

 

為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。

在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。

 

圖1、改進的Dirty COW攻擊

 

這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。

在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。

 

解決方式和資訊披露

趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。

我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。

企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。

 

@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)

 

盤點 2016 十大資安數字-企業機構篇

2016 年發生了哪些你印象深刻的資安事件? 讓我們用一些資安數字來回顧相關新聞:
上一篇盤點 2016 十大資安數字-一般用戶篇 ,我們分享了以下數據:

  1. 雅虎 5 億用戶資料外洩
  2.  一天8篇文就能推測出你住家位置
  3. 全台每8秒一個裝置受到勒索病毒攻擊!
  4.  48%的人會將撿到的隨身碟插入電腦
  5.  41-45 歲的熟女最易被騙

接下來我們繼續看以下五則:

  1. CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍
  2. 歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式
  3. ATM自動吐鈔,遭盜領8千萬
  4. 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得
  5. 逾14萬台網路攝影機發動史上最大DDoS攻擊

CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

 

✅入侵出納人員電子郵件帳號
✅ 攔截預定好的轉帳交易
✅ 假借高階主管名義寄發郵件
✅下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

延伸閱讀: CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式

最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)
最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。

變臉詐騙案件規模逐年擴張成長,根據最新FBI 6月14日發佈的報告指出, 自2015 年1月以來,企業機構通報的變臉詐騙損失金額成長13倍,造成全球近31 億美元的損失,其中資料顯示多數詐欺性轉帳皆流向位於中國與香港的亞洲銀行。

趨勢科技提供企業6個小秘訣,杜絕變臉詐騙找上門!

  1. 仔細檢查所有的電子郵件:小心來自高階主管的不尋常郵件,詐騙郵件最常使用簡短而含糊的主旨,有時甚至只有一個字,這些都可能為詐騙份子誘騙的動作。此外,針對要求資金轉移的電子郵件需加以確認是否為正確郵件。
  2. 提升員工防詐意識:員工往往是企業資安環節中最脆弱的一環,積極做好員工訓練,仔細審視公司政策,並且培養良好的資安習慣。
  3. 任何廠商變更的匯款資訊,皆必須經由公司另一位人員複核。
  4. 掌握合作廠商的習慣:包括匯款的詳細資料和原因。
  5. 使用電話做為雙重認證機制:透過電話撥打原本已登記的慣用電話號碼,做為雙重認證機制,而非撥打電子郵件當中提供的連絡資訊。
  6. 一旦遇到任何詐騙事件,立即報警或向165反詐騙專線檢舉。

Continue reading “盤點 2016 十大資安數字-企業機構篇”