Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”

用 KGDB 來替 Android 除錯的實用技巧

內核(Kernel)除錯功能讓資安研究人員在進行分析時能夠監視和控制設備。在Windows、macOS和Linux等桌面平台上,這很容易進行。但要在Android設備(如Google Nexus 6P)上進行內核除錯則困難得多。在本文中,將介紹一種在Nexus 6P和Google Pixel上進行內核除錯的方法而無須特製的硬體。

Joshua J. Drake和Ryan Smith為此目的打造了一條UART除錯線,效果很好。然而對於不擅長製作硬體的人(像是筆者這樣的軟體工程師)來說,這可能很困難。而替代方案是透過serial-over-usb通道來進行內核(Kernel)除錯 也是可行的。

這個方法可以追溯到2010年,這表示部分介紹已經過時。但我發現的作法可以利用其關鍵要點,然後用在今日的Android設備上。讓研究人員可以使用除錯功能來確認CPU執行的當前狀態,讓分析更加快速。那該如何進行?

Android是用Linux內核打造的,其中包含了內建的內核除錯程式KGDB。KGDB依靠串列埠來連接除錯設備和目標設備。正常情況如下:

圖1、KGDB工作模式

 

目標和除錯設備透過串列線連接。使用者在除錯機上用GDB來附加串列設備檔案(如/dev/ttyS1),指令是target remote /dev/ttyS1。之後,GDB可以通過串列線和目標設備上的KGDB進行溝通。

KGDB核心元件處理實際的除錯工作,像是設置中斷點和取得記憶體內的資料。KGDB I/O元件可以連接KGDB核心元件和低階串列驅動程式以處理除錯資訊傳輸。 Continue reading “用 KGDB 來替 Android 除錯的實用技巧”

假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。 Continue reading “假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動”

《概念證明應用程式》即便手機設定成不接受來自Google Play以外的應用程式,竟也可以偷偷安裝應用程式!

新的 Dirty COW攻擊方式 可讓惡意程式碼直接寫入程序

Dirty COW(編號CVE-2016-5195)是在2016年10月首次被公開披露的Linux漏洞。這是個嚴重的提權漏洞,可以讓攻擊者在目標系統上取得root權限。它被Linus Torvalds描述為「古老的漏洞」,在披露後就迅速地被修補。多數Linux發行版本都已經盡快地將修補程式派送給使用者。

Android也同樣受到Dirty COW漏洞影響,雖然SELinux安全策略大大地限制住可攻擊範圍。趨勢科技發現了一種跟現有攻擊不同的新方法來利用Dirty COW漏洞。這個方法可以讓惡意程式碼直接寫入程序,讓攻擊者能夠對受影響設備取得很大的控制。目前所有的Android版本都受到此問題影響。

不給錢就讓手機變磚塊!勒索集團威脅瀏覽色情網站Android手機用戶

概念證明應用程式:即便手機設定成不接受來自Google Play以外的應用程式,也可以偷偷安裝應用程式

下面的影片顯示一個已經更新最新修補程式的Android手機安裝了我們所設計的概念證明應用程式且無須要求授予任何權限。一旦執行,就可以利用Dirty COW漏洞來竊取資訊和變更系統設定(在這展示中會取得手機位置,開啟藍牙和無線熱點)。它也可以偷偷安裝應用程式,即便手機設定成不接受來自Google Play以外的應用程式。

 

為什麼會這樣?當執行一個ELF檔案時,Linux核心會將可執行檔映射到記憶體。當你再次打開相同的ELF可執行檔時會重複使用這份映射。當利用Dirty COW漏洞來修改執行中的ELF可執行檔時,執行中程序的映像也會改變。讓我們想想這代表什麼:Dirty COW可以修改任何可讀的執行中程序。如果程序不可讀,則用cat /proc/{pid}/maps來找出是否有任何載入中的ELF模組可讀。

在Android上也可以應用相同的步驟。Android Runtime(ART)程序可以用相同的方式動態修改。這讓攻擊者可以在Android設備上執行應用程式來修改任何其他可讀程序。所以攻擊者可以注入程式碼並控制任何程序。

 

圖1、改進的Dirty COW攻擊

 

這種攻擊將攻擊能力延伸到不僅僅只是讀寫檔案,而是直接將程式碼寫入記憶體。可以取得root權限而無須重新啟動或造成系統崩潰。

在我們的概念證明影片中,動態修改libbinder.so讓我們的應用程式取得系統root權限。我們使用這能力繞過Android的權限控管來竊取資訊和控制系統功能。

 

解決方式和資訊披露

趨勢科技已經將此問題通報Google。Dirty COW最初是透過2016年11月的Android更新加以修補,但這直到2016年12月的更新才強制此項修補。使用者可以詢問行動設備廠商或電信業者來了解自己的設備何時可以取得更新。

我們現在正在監控使用此類攻擊的威脅。強烈建議使用者只安裝來自Google Play或可信賴第三方應用程式商店的應用程式,並使用行動安全解決方案(如趨勢科技的行動安全防護)來在惡意威脅進入設備或對資料造成危害前加以封鎖。

企業使用者應該要考慮如趨勢科技企業行動安全防護的解決方案。它涵蓋了設備管理、資料防護、應用程式管理、法規遵循管理、設定檔配置及其他功能,讓企業主可以在自帶設備(BYOD)計畫的隱私安全與靈活性、增加生產力之間取得平衡。

 

@原文出處:New Flavor of Dirty COW Attack Discovered, Patched 作者:Veo Zhang(行動威脅分析師)

 

盤點 2016 十大資安數字-企業機構篇

2016 年發生了哪些你印象深刻的資安事件? 讓我們用一些資安數字來回顧相關新聞:
上一篇盤點 2016 十大資安數字-一般用戶篇 ,我們分享了以下數據:

  1. 雅虎 5 億用戶資料外洩
  2.  一天8篇文就能推測出你住家位置
  3. 全台每8秒一個裝置受到勒索病毒攻擊!
  4.  48%的人會將撿到的隨身碟插入電腦
  5.  41-45 歲的熟女最易被騙

接下來我們繼續看以下五則:

  1. CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍
  2. 歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式
  3. ATM自動吐鈔,遭盜領8千萬
  4. 光是 2016 年第一季,勒索病毒就從企業身上海撈了將近2.09 億美元的不法所得
  5. 逾14萬台網路攝影機發動史上最大DDoS攻擊

CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

 

✅入侵出納人員電子郵件帳號
✅ 攔截預定好的轉帳交易
✅ 假借高階主管名義寄發郵件
✅下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)。FBI 預估遭受變臉詐騙攻擊形式的受駭企業平均損失金額為美金130,000,高達四百萬台幣 !

延伸閱讀: CEO 最常遭冒名發信;CFO 最常收到詐騙信-變臉詐騙案件猖獗,全球損失金額兩年飆長13倍

歹徒只需 35 美元就可取得的變臉詐騙簡易後門程式

最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)
最常遭詐騙份子鎖定,入侵其電子郵件系統進行變臉詐騙攻擊的對象為CEO(31%),依序為總裁(17%)及總經理(15%)

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。

變臉詐騙案件規模逐年擴張成長,根據最新FBI 6月14日發佈的報告指出, 自2015 年1月以來,企業機構通報的變臉詐騙損失金額成長13倍,造成全球近31 億美元的損失,其中資料顯示多數詐欺性轉帳皆流向位於中國與香港的亞洲銀行。

趨勢科技提供企業6個小秘訣,杜絕變臉詐騙找上門!

  1. 仔細檢查所有的電子郵件:小心來自高階主管的不尋常郵件,詐騙郵件最常使用簡短而含糊的主旨,有時甚至只有一個字,這些都可能為詐騙份子誘騙的動作。此外,針對要求資金轉移的電子郵件需加以確認是否為正確郵件。
  2. 提升員工防詐意識:員工往往是企業資安環節中最脆弱的一環,積極做好員工訓練,仔細審視公司政策,並且培養良好的資安習慣。
  3. 任何廠商變更的匯款資訊,皆必須經由公司另一位人員複核。
  4. 掌握合作廠商的習慣:包括匯款的詳細資料和原因。
  5. 使用電話做為雙重認證機制:透過電話撥打原本已登記的慣用電話號碼,做為雙重認證機制,而非撥打電子郵件當中提供的連絡資訊。
  6. 一旦遇到任何詐騙事件,立即報警或向165反詐騙專線檢舉。

Continue reading “盤點 2016 十大資安數字-企業機構篇”

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

行動裝置勒索病毒:Android 勒索病毒威脅成長 15 倍

過去 18 個月來,趨勢科技目睹 個人電腦勒索病毒 Ransomware (勒索軟體/綁架病毒) 稱霸資安威脅版圖,不論數量和破壞力都前所未見。但現在,網路犯罪集團已開始將矛頭指向另一個目標:Android 行動裝置平台。根據我們的研究顯示,2016 年 6 月 Android 勒索病毒威脅較 2015 年 4 月成長了 15 倍[i]

行動裝置勒索病毒威脅最早出現在二年多前,此後便幾乎銷聲匿跡,因為大家的目光都在它的老大哥身上,也就是電腦版勒索病毒。但我們是不是該對行動勒索病毒多點關注?讓我們來看看你為何該注意這項威脅、這項威脅如何散布,以及你如何維護行動裝置安全。

你為何該注意  ?你可以一日不用電腦 ,但是手機呢?

勒索病毒會鎖住你的電腦或行動裝置,或者將你的檔案加密,你必須支付網路犯罪集團一筆贖金才能解開你的電腦和檔案。若你不支付贖金,歹徒會將你的照片和文件永久刪除,或者讓你永遠都無法使用電腦或行動裝置。

在今日,行動裝置比個人電腦更融入我們的日常生活當中,因此若遭到勒索病毒攻擊,將造成莫大的影響,這一點,任何曾經遺失手機的人都會懂。

行動裝置勒索病毒如何散布? 瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結都可能遭到攻擊

行動勒索病毒會冒充正常應用程式、熱門遊戲、Flash 播放程式、視訊播放程式或是系統更新,經常出現在非官方應用程式商店 (趨勢科技至今仍未在 Google Play 商店上發現任何勒索病毒威脅)。此外,你也可能因瀏覽色情網站、網路論壇或點選簡訊中的垃圾連結而遭到攻擊。

行動裝置勒索病毒如何運作? Continue reading “行動裝置勒索病毒:Android 勒索病毒威脅成長 15 倍”

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事

「你想抓噴火龍嗎?」
「好啊!」
「那邊有1隻喔!你想跟我一起過去嗎?」

影片中的小朋友真的眼中只有噴火龍,完全沒有警覺心的跟陌生人前往危險的地方

如果你家中也有瘋抓寶可夢的孩子,千萬別像影片中的爸爸一樣,孩子三更半夜溜到黑暗的公園抓寶物,甚至被陌生人騙走都還不知道啊!


圖片來源:BlurryMe / Shutterstock.com

 

任天堂推出以其知名動畫為背景的《Pokémon Go》手機遊戲。此免費遊戲獨特之處在於玩家必須親自前往真實世界的不同地點來進行遊戲以獲得獎勵。玩家可在遊戲中建立一個代表自己的虛擬人偶,如同遊戲中的角色一樣。不同的是,遊戲中的角色會投射在玩家手機所拍到的真實世界上。這是第一個適合普羅大眾、同時廣受喜愛的擴增實境應用程式。

我自己也註冊了一個帳號,並且在家裡及後院測試了一下,而我九歲大的孩子一直在背後躍躍欲試地看著我玩。能夠透過手機相機在遊戲當中看到真實世界,並且看到家中沙發上頭冒出一個遊戲角色,確實是一種很酷的經驗。在遊戲當中,我必須拋出所謂的神奇寶貝球來收服這些遊戲中的角色。其實,我比較希望這些神奇寶貝不會在我收服它們之後消失。

我原本想說只要在自己家中或附近晃晃就好,但四處閒晃了 20 分鐘之後 (還要試著避免踢到桌腳或門擋),我發現這遊戲在有限的空間內沒什麼好玩的。最後,我因為開始覺得無聊就停止再玩

新聞報導大多圍繞在人們像旅鼠般的集體遷移行為,或是任天堂的股價,或是這類遊戲所造成的危險,例如,它會帶您到一些不安全的地點、蒐集您的大量個人資料 (因為它必須隨時知道您的所在地點) 等等。

我個人覺得您要自己試試看之後再下判斷。同時,我也強烈建議在您讓孩子到市區 (或更遠的地方) 抓寶之前,您自己應該先試玩看看 (或者和孩子一起試玩)。儘管這款遊戲看似簡單而有趣,但的確存在著一些您必須知道的風險

以下是身為家長的您必須知道的六件事: Continue reading “小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事”

假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增

不要怪自己眼睛業障深,一直分辨不出假的《Pokemon Go(精靈寶可夢)》差別,因為網路詐騙份子總是跟你一樣喜歡追求風靡全球的事物。該遊戲在 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。
還有Pokemon Go 攻略與破解安裝類的冒牌應用程式,暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。或是宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會幫你發送一封訂閱簡訊到某個昂貴的服務。

Snippets-FB

 

最近一夕爆紅的《Pokemon GO》手機遊戲目前雖然只在少數特定國家開放,但卻早已擄獲數百萬玩家。不僅如此,就像任何其他風靡全球的事物一樣,網路犯罪集團早已準備加入這波熱潮。

該遊戲在 7 月 6 日正式推出之後,沒過多久,非官方檔案分享網站上便立即出現一個冒牌版本,此版本會在 Android 手機上安裝一個遠端存取木馬程式。還不只這樣,資安研究人員更在 Google Play 商店上發現了一個叫做「Pokemon GO Ultimate」的冒牌鎖定螢幕程式。當此應用程式啟動時,會刻意將手機螢幕鎖住來強迫使用者重新開機。重新開機之後,該程式就會在背景暗中執行,並且偷偷點選網路上的色情廣告,讓使用者毫不知情。 從 Google Play 下載該程式時,其實下載到的並非「Pokemon GO Ultimate」程式,而是一個叫做「PI Network」的程式,而且安裝完畢的程式圖示也跟「Pokemon GO Ultimate」不同。

[延伸閱讀:熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本]

應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊。
應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊(看更多…)

 

其實,應用程式商店上 Pokemon 相關的威脅還不僅止於此。Google Play 已經出現很多「Guide and Cheats for Pokemon GO」(Pokemon Go 攻略與破解) 和「Install Pokemon GO」(安裝 Pokemon GO) 之類的冒牌應用程式,全都暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。例如,其中一個就宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會發送一封訂閱簡訊到某個昂貴的服務。

Continue reading “假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增”

DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。 Continue reading “DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!”