Android 手機勒索病毒再進化-更大、更壞、更強!

行動裝置威脅不光只有資訊竊取程式和惡意程式而已,還有手機勒索病毒 Ransomware (勒索軟體/綁架病毒)。它們雖然不像電腦版的勒索病毒 (如 WannaCry(想哭)勒索蠕蟲 和 Petya) 威力那麼強,但隨著手機使用率越來越高 (尤其是企業),很自然地會有越來越多網路犯罪集團開發出這類威脅。

2017 年上半年偵測到 23.5萬 隻Android 手機勒索病毒,為 2016 一整年的 1.81 倍

以 Android 平台手機勒索病毒為例,去年 (2016年) 第四季趨勢科技偵測及分析到的變種數量是 2015 年同期的三倍。沒錯,增加幅度相當驚人。光 2017 年上半年我們就已經偵測到 235,000 個 Android 手機勒索病毒,這數量足足是 2016 一整年的 1.81 倍。

圖 1:Android 手機勒索病毒偵測數量比較 ─ 2016 與 2017 年前兩季。

然而最近突然爆發的一波專門針對 Android 裝置的鎖定螢幕與檔案加密惡意程式,也突顯出手機勒索病毒數量正不斷成長,其中包括:會模仿 WannaCry 並利用正常社群網站散布的 SLocker,以及威脅要將受害者個人資料公開的 LeakerLocker。現在,SLocker 的原始程式碼據聞已經被反組譯出來並外流至 GitHub 上,未來勢必將看到更多類似的威脅。

那麼,Android 加密勒索病毒目前的發展情況如何?行動裝置威脅情勢的未來展望又是如何?

圖 2:加密勒索病毒的典型行為。

從螢幕鎖定程式演變至檔案加密程式
過去,典型的 Android 手機勒索病毒都相當單純。它們會將裝置螢幕鎖住,然後顯示一個勒索訊息畫面。這類螢幕鎖定程式第一次演化成檔案加密勒索病毒是在 2014 年 5 月,也就是:Simple Locker (趨勢科技命名為 ANDROIDOS_SIMPLOCK.AXM),該病毒會將行動裝置內建儲存空間及 SD 卡上的檔案加密。從那時起,我們便陸續看到一些類似的威脅,其中某些變種甚至只是將原本的惡意程式重新包裝,然後就在第三方應用程式市集上架。其他的則是非常積極地頻繁發布更新以躲避偵測。事實上,我們甚至看到某個惡意程式作者在五月份修正其勒索病毒問題,以更新其勒索訊息顯示及取得的方式。 Continue reading “Android 手機勒索病毒再進化-更大、更壞、更強!”

最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)

最新手機/LINE詐騙簡訊/網路詐騙一覽表:(持續不斷更新)

【BEC 變臉詐騙/商務電子郵件詐騙 】新竹一間長期與中國代工廠合作的科技公司,原本都用對方「xxx@ximhan.net」信箱聯絡,沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號,以定期更換受款帳戶,以免遭洗錢犯罪利用為由,要求更改受款帳戶。該公司不疑有他,損失新台幣2千餘萬元

「L INE歡慶6周年簽到」活動是假的 !
LINE用戶瘋傳「L INE 歡慶6週年簽到」活動,加入好友後可抽免費貼圖;LINE今天表示,該活動並非官方舉辦,已將遭用戶檢舉的帳號停權,並提醒用戶小心個資外洩。

刑事警察局公布:風險賣場/網站排行

月薪七萬二!只要提供存款簿就好了?

警察通知我破案了,要用ATM退款?

警察打來說之前被詐騙的錢可以拿回了?等等,假的!

blog_pic

線上辦理退稅? 小心變成人頭戶

Continue reading “最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)”

下載應用程式至業務用手機,沒關係嗎?

 

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

是否曾經下載應用軟體至公司所配給的手機上?一般而言只要智慧型手機一到手,任何人都會想要下載自己喜歡的應用軟體吧。但是,公司所配給的智慧型手機未經過公司同意是嚴禁擅自下載應用軟體。

一般人透過第三方應用程式商店和分享網站下載時,往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run(超級瑪利歐酷跑)。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。 Continue reading “下載應用程式至業務用手機,沒關係嗎?”

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務

趨勢科技研究人員發現了第一個攻擊 Dirty COW漏洞的Android 惡意軟體: AndroidOS_ZNIU,已有超過30萬款Android程式夾帶ZNIU。目前超過40個國家偵測到該惡意軟體,主要出現在中國和印度, 但美國、日本、加拿大、德國和印尼也有受害者。直到本文撰寫時,有超過5000名 Android 使用者被感染。在惡意網站上有超過1200隻偽裝成色情和遊戲的應用程式,夾帶能夠攻擊 Dirty COW漏洞rootkit的ZNIU惡意應用程式。

2016年首次曝光的Dirty COW為藏匿於Linux的提權漏洞(CVE-2016-5195),可允許駭客取得目標系統上的root權限。漏洞被發現在Linux平台,包含Redhat和使用了Linux核心的Android。針對Android的Dirty COW攻擊一直到近日才出現,猜測攻擊者花了許多時間來開發能夠在主要設備上穩定執行的漏洞攻擊碼。

 

Figure 1 porn app

圖1:藏有ZNIU的色情應用程式

 

趨勢科技在去年製作過Dirty COW的概念證明(POC)程式,並且發現所有版本的Android作業系統都有此漏洞,不過ZNIU對Dirty COW漏洞的攻擊只限於ARM/x86 64位元架構的Android設備。另外,最近的這波攻擊可以繞過SELinux來植入後門程式,而 PoC程式只能修改系統的服務程式碼。

趨勢科技監視了6個 ZNIU rootkit,其中4個是Dirty COW漏洞攻擊碼。另外兩個是KingoRoot(一個rooting應用程式)及Iovyroot漏洞攻擊碼(CVE-2015-1805)。ZNIU使用KingoRoot和Iovyroot是因為它們可以破解ARM 32位元CPU的設備,而這是Dirty COW rootkit所做不到的。

感染流程

ZNIU惡意軟體經常偽裝成色情應用程式埋伏在惡意網站上,誘騙使用者點擊安裝。一但執行,ZNIU會跟C&C伺服器進行通訊。如果有可更新的程式碼,它會從C&C伺服器取得並載入系統。同時會利用Dirty COW漏洞來提升本地端權限,解除系統限制和植入後門,為未來遠端控制攻擊鋪路。

Figure 2 ZNIU infection chain

圖2:ZNIU感染鏈

 

進入設備主畫面後,惡意軟體會取得用戶電信業者的資訊,偽裝成設備所有人,利用基於簡訊的支付服務與電信業者進行交易。透過受害者的行動設備,ZNIU背後的操作者可以利用電信業者的付費服務獲利,有個案例是將款項轉至某個位於中國的虛設公司。當交易結束後,惡意軟體會刪除設備上的交易訊息,不留下電信業者和惡意軟體操作者間的交易紀錄。如果是中國以外的電信業者,就不會進行交易,但是惡意軟體還是可以攻擊系統漏洞來植入後門。

Figure 3 Transaction request sent by the malware to the carrier

圖3:從惡意軟體送給電信業者的交易請求

 

每月人民幣20元小額交易,避免驚動受害者

根據趨勢科技的分析,惡意軟體似乎只針對使用中國電信商的用戶。而且僅管惡意軟體操作者可以設定更高金額來從漏洞攻擊獲得更多金錢,但還是刻意的將每筆交易故意設為小額(每個月20元人民幣或3美元)來避免被發現。

Figure 4 Screenshot of the SMS transactions

圖4:SMS交易截圖

Continue reading “第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務”

你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。

約有14億用戶的Android設備,讓網路駭客嗅到銅臭味,覬覦這個賺黑心錢的大餅,智慧型手機成為攻擊目標。根據諾基亞的統計,針對Android設備的攻擊佔去年行動設備攻擊的81%,而在10月,中毒設備也佔了所有設備的1.35%,這是前所未有的紀錄。我們的數位生活越來越依賴行動設備,智慧型手機在2016年激增400%,如果它們遭受壞人攻擊,最終的受損的還是消費大眾,問題已經迫在眉睫了。

Android惡意軟體濫打電話傳簡訊,還可遠端控制你的手機

開發人員很容易將應用程式上傳到Google的官方Play商店或世界各地眾多的第三方應用程式市場。但是這樣的開放性可能會帶來安全問題。儘管Google越來越嚴格地審查應用程式是否潛藏惡意內容,並且一旦發現就會將其移除,但你仍然可能會選擇和安裝到惡意軟體。

就在最近,研究人員發現了超過1000個帶有SonicSpy的應用程式,這是會劫持受感染設備來竊聽使用者的Android惡意軟體,或打電話和傳簡訊到付費服務號碼。至少有三個版本出現在Google Play上。最近的Android惡意軟體還有GhostCRL,它可以讓駭客遠端控制設備;以及MilkyDoor,它已經透過Google Play被安裝了100萬次。

 

不到3%的使用者使用最新最安全的 Android 作業系統版本

更新修補(安裝最新的安全更新)是保護電腦或行動設備降低中毒機率最簡單的作法。但在開放的Android生態系中,Google所釋出的修補程式安裝比例仍然偏低。Google在其最新的Android安全年度評估報告中指出,在2016年只有一半的Android設備已經被修補。雖然這已經比前幾年有所改善,但還是遠遠不夠。事實上,不到3%的使用者使用最新最安全的作業系統版本。

你用智慧型手機看電子郵件,使用社群媒體、買東西、看影片、傳簡訊甚至進行網路銀行交易,駭客都有辦法知道!

駭客知道我們用智慧型手機做一切事情,從看電子郵件和社群媒體、買東西、看影片、傳簡訊給朋友和進行網路銀行交易。這讓行動設備成為惡意軟體和社交工程詐騙的主要目標,為了竊取或誘騙我們交出登錄憑證和財務資訊。

為了從我們的手中拿走血汗錢,駭客們開發了一系列的工具和手段,包括銀行木馬、勒索病毒、間諜軟體、網路釣魚和付費服務簡訊惡意軟體。

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。 Continue reading “你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!”

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 Continue reading “BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證”

Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!

Android的Toast漏洞覆蓋(Overlay)攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

「Android 趨勢科技」的圖片搜尋結果

 安全研究人員警告使用者關於可能導致Toast覆蓋(overlay)攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體,將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

隱藏按鈕可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒 

覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。

這是什麼意思?比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒。

[延伸閱讀:CVE-2017-0780:阻斷服務漏洞可能導致Android訊息應用程式崩潰]

 

這個覆蓋攻擊做了什麼?

覆蓋攻擊本身並不新,而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可,並且必須從Google Play安裝。

但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞,Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會(IEEE)在最近的黑帽(Black Hat)安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。

 

[延伸閱讀:Android 手機勒索病毒再進化-更大、更壞、更強!]

所有版本的Android都有此漏洞,Toast甚至可以覆蓋整個螢幕

所有版本的Android都有此漏洞,除了最新的Oreo。Android Nougat有個預防措施,就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外,Toast不需要與Android其他視窗有相同的權限,甚至可以利用Toast來覆蓋整個螢幕。

[延伸閱讀:GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]

 

你能做什麼?保持作業系統和應用程式更新,只從官方Google Play或可信賴的來源下載

此漏洞(CVE-2017-0752)的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現,但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。 Continue reading “Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!”

Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線

銀行木馬 EMOTET和Trickbot 在沉寂一段時間後再度死灰復燃,(趨勢科技將它們分別偵測為TSPY_EMOTET和TSPY_TRICKLOAD)。這些銀行病毒都是經由社交工程(social engineering )惡意垃圾郵件或網路釣魚(Phishing)郵件散播。安全研究人員指出它們還會利用蠕蟲、下載其它惡意軟體以及模仿銀行網域等方式散播。

 

EMOTET能夠“竊聽”經由網路連線傳輸的資料,以繞過HTTPS安全連線,並躲避傳統的偵測技術

EMOTET首次現身於 2014年: 假冒銀行轉帳通知!!利用網路監聽竊取資料 跟其他利用惡意網頁來竊取銀行資料的銀行惡意軟體不同,EMOTET能夠“竊聽”經由網路連線傳輸的資料。這讓攻擊者可以繞過像HTTPS這樣的安全連線,並且躲避傳統的偵測技術。在2016年12月,趨勢科技發現它再度出現在相同地區,還包括了熟悉的舊資料竊取軟體DRIDEXZeuS/ZBOT

最近再度出現的EMOTET還會植入DRIDEX病毒。垃圾郵件內的惡意連結會將受害者導向下載一個Word文件,內嵌會觸發PowerShell腳本的Visual Basic程式碼。這腳本會下載並執行EMOTET及其他惡意軟體,其中最常見的是DRIDEX,放在各攻擊者所擁有的網域。

 

Trickbot銀行木馬偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集

Trickbot銀行木馬是前輩DYRE/Dyreza惡意軟體的接班人,它會利用以假亂真的銀行網頁。也透過夾帶HTML檔案的惡意垃圾郵件散播。這些HTML檔案會下載偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集。 Continue reading “Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線”

叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

叫車程式會儲存及使用個人金融資訊和身分資料,FakeToken 變種木馬會即時監控 Android 裝置上所安裝的這類應用程式並試圖偷取相關資料。當使用者執行某個叫車程式時,FakeToken 就會顯示一個網路釣魚畫面並將它重疊在原本的應用程式畫面上,騙受害者輸入信用卡資料。而且網路釣魚畫面長得跟就像原本的應用程式一樣,包括標誌和配色等等。 此外,這一版的 FakeToken 還會攔截手機收到的簡訊,監控手機通話並錄音

趨勢科技提醒您,請勿在網路上分享過多個人資訊,同時也盡可能減少您提供給應用程式的權限。還有,務必小心一些不請自來的簡訊

您是否正準備使用您最愛的叫車程式來規劃您接下來的路線呢?請注意,如果該程式曾經不只一次向您要求輸入信用卡資料,那這很可能是個惡意程式。

資安研究人員發現,目前有個 Android 叫車應用程式其實是 FakeToken 銀行木馬程式所假冒 (趨勢科技命名為 ANDROIDOS_FAKETOKEN)。除此之外,該版本的 FakeToken 還會冒充成一些交通罰單或飯店和機票訂位的支付程式。  Continue reading “叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身”

Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

Continue reading “Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制”