Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

Continue reading “Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制”

誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

目前,資安研究人員已 發現有超過 1,000 個應用程式感染了 SonicSpy 間諜程式 (趨勢科技命名為 ANDROIDOS_SONICSPY.HRX),這是一個可讓駭客操控 Android 裝置的惡意程式,而且至少有三個暗藏 SonicSpy 的應用程式曾經滲透到 Google Play 商店。

SonicSpy 是以熱門即時通訊軟體 Telegram 的開放原始碼為基礎所開發出來,其開放原始碼的用意就是希望讓大家能打造屬於自己的通訊平台。但 SonicSpy 卻在該軟體當中加入間諜與遠端遙控功能,然後換個名字將應用程式上架,例如:Soniac、Hulk Messenger、Troy Chat 等等。

目前感染 SonicSpy 的應用程式數量已超過  4,000 個,顯示 SonicSpy 背後應該有一個自動化開發流程。此外,資安研究人員也指出,這些間諜程式也會透過第三方應用程式市集和 網路釣魚簡訊來散布。網路釣魚簡訊 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。

[TrendLabs 資安部落格文章:Android 後門程式 GhostCtrl 可暗中錄音、錄影,而且還不只這樣…]

竊聽、偷拍、撥打高費率付費服務電話….SonicSpy 具備 73 種遠端遙控指令

SonicSpy 具備 73 種遠端遙控指令,其中包括:

  • 經由手機的麥克風來錄音。
  • 啟動手機的相機來拍照。
  • 對外撥打電話或發送簡訊到指定號碼,例如撥打高費率付費服務電話。
  • 讀取手機上的通話記錄、通訊錄名單以及 Wi-Fi 熱點清單。

Continue reading “誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!”

 “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

 

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 Continue reading ” “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看”

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知,勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker),然而,最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。除此之外,我們也在 Google Play 商店上發現一些名稱相似的應用程式,雖然我們仍不確定它們與前述惡意程式有何關聯,但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

 我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下:

 A quick glance at LeakerLocker reveals the following infection vector:

Figure 1

Figure 1: LeakerLocker infection diagram

圖 1:LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載,在本文發布時,該應用程式已經遭到下架,而我們也早已將前述應用程式通報給 Google。

Figure 2

圖 2:Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大,惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

Figure 3

圖 3:檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

Continue reading “LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資”

別輕忽孩子暑假的上網習慣!

開啟趨勢安全達人「兒少防護網」,保護孩子的上網安全。

暑假來臨,是孩子們最歡樂自由的時光,但大人卻也繃緊神經,不僅要注意孩子與好友們出遊的安全,每天在網路上瀏覽的資訊更要注意!

雖然每個年代的娛樂方式都不同,但小孩接觸的資訊及行為卻是越來越複雜,對於不良的事物更是防不勝防,除了可能沉迷遊戲、社群軟體甚至有機會誤入色情網站。

根據台灣教育部調查,在平日上課期間,國小學生平均近1小時,國中生近2小時,高中職學生則是超過2小時的時間!
若是週休二日或是暑假時間呢?結果更是變本加厲,國小2小時,國中近4小時,高中職平均已經超過4小時了!隨著年紀越大沉迷的狀況越顯嚴重,而且對於出現瀏覽的內容更是難以掌控。

趨勢安全達人特地為了用戶上網的安全,開發一個「上網防護」的功能

Continue reading “別輕忽孩子暑假的上網習慣!”

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際,趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App,被駭客鎖定放置惡意後門程式,以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式,主要是針對 安卓 (Android )用戶,會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲,誘騙使用者上鉤。

Snippets-FB

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料,能造成的威脅還不只這樣 (至少就衝擊面來看是如此),它還會引來一個更危險的威脅,那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名,是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能,第二版會進一步操控更多功能,第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看,未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地,各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學,有些人甚至還幫它開發了一些修補程式。

事實上,有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖),由於這是一個 RAT 服務,因此這一點其實可以在程式編譯的時候修改 (或移除)。

 

 

圖 1:從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsappPokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式,名稱大多叫做 App、MMS、whatsapp,甚至是 Pokemon GO。當應用程式啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行:

 


圖 2:外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能,而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來,惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令,透過「new Socket(hefklife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密,APK 在收到之後會自行解密。有趣的是,趨勢科技也發現此後門程式在連線時會使用網域名稱,而非 C&C 伺服器的 IP 位址,這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址:

  • hef–ddns.net
  • f–ddns.net
  • no-ip.biz
  • no-ip.biz

值得注意的是,指令中可包含動作代碼和物件資料,駭客可透過這方式來指定攻擊目標和攻擊內容,因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能,讓使用者毫不知情。

以下是一些動作代碼和其對應的動作:

  • 動作代碼 = 10、11:操控 Wi-Fi 狀態。
  • 動作代碼 = 34:監控手機各感應器的即時資料。
  • 動作代碼 = 37:設定手機使用介面模式,如夜晚模式/車用模式。
  • 動作代碼 = 41:操控震動功能,包括振動方式和時機。
  • 動作代碼 = 46:下載圖片來當成桌布。
  • 動作代碼 = 48:列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
  • 動作代碼 = 49:刪除指定目錄中的檔案。
  • 動作代碼 = 50:重新命名指定目錄中的檔案。
  • 動作代碼 = 51:上傳某個想要的檔案至 C&C 伺服器。
  • 動作代碼 = 52:建立一個指定的目錄。
  • 動作代碼 = 60:使用文字轉語音功能 (將文字轉成音訊)。
  • 動作代碼 = 62:傳送 SMS/MMS 簡訊至駭客指定的號碼;內容可自訂。
  • 動作代碼 = 68:刪除瀏覽器歷史記錄。
  • 動作代碼 = 70:刪除 SMS 簡訊。
  • 動作代碼 = 74:下載檔案。
  • 動作代碼 = 75:撥打駭客指定的電話號碼。
  • 動作代碼 = 77:打開活動檢視應用程式,駭客可指定統一資源識別碼 (Uniform Resource Identifier,簡稱 URI),如:開啟瀏覽器、地圖、撥號的檢視等等。
  • 動作代碼 = 78:操控系統的紅外線發射器。
  • 動作代碼 = 79:執行駭客指定的指令列命令,並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令,用於竊取裝置的資料,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,如:通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

 

 

 

 

Continue reading “Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置”

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

繼淘寶上出現「高仿版」的WannaCry 病毒,售價10 人民幣之後,上個月稍早,趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為:ANDROIDOS_SLOCKER.OPST),其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年之後,突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒 。

不過,雖然這個 SLocker 變種可將手機上的檔案加密,但卻沒有肆虐多久。因為,就在該病毒的詳細手法被公開之後,不久便出現針對該病毒的解密工具,為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天,一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播),因此受害者數量非常稀少。

圖 1:此勒索病毒相關的時間點。

 

趨勢科技最早取得的樣本是假冒成《王者榮耀》遊戲的作弊程式,叫做「王者荣耀辅助」。在安裝之後,其畫面長得很像 WannaCry 病毒,但這已經不是第一次該病毒出現仿冒者

第一個模仿 WannaCry 的手機勒索病毒

圖 2:第一個模仿 WannaCry 的手機勒索病毒。

Continue reading “假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶”

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 Continue reading “Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次”

木馬程式不當取得用戶個資 Android裝置又有惡意程式

趨勢科技資安團隊偵測Android平台時發現廣告木馬程式Xavier內嵌在逾800個手機App中,全數共累積數百萬人次下載,並利用這些App暗中竊取用戶個資。

駭客利用Xavier蒐集和洩漏用戶的裝置資料,硬體面包括製造商、SIM卡製造商、產品名稱裝置ID等,個人化設定像是裝置名稱、使用語言、作業系統版本、已安裝應用程式、Google Play帳號,以及最常使用的電子郵件地址等。除了盜取資訊外,資訊攻擊已進化到讓駭客可以遠端鎖定你的行動裝置並安裝其他應用程式套至裝置內部,造成用戶難以察覺中毒。大多數下載遭Xavier感染App的用戶,都來自東南亞國家。 Continue reading “木馬程式不當取得用戶個資 Android裝置又有惡意程式”

最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)