「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

趨勢科技發現一個會竊取個資的多平台間諜軟體: Maikspy,目標是Windows和Android使用者,該間諜軟體偽裝成人遊戲: Virtual Girlfriend(虛擬女友)。Android 用戶若感染了該間諜軟體,通話時它會偷偷錄音和竊取設備所在位置、簡訊、聯絡人和

WhatsApp資料庫等資訊。最新的變種還可以竊取剪貼簿、本機號碼、已安裝應用程式列表和帳號等資訊。

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

安裝惡意Virtual Girlfriend(虛擬女友)應用程式後,間諜軟體會秀出線上約會詐騙網站,當使用者進行註冊時,駭客不僅可以取得受害者的信用卡資料,還會取得註冊該網站時的刷卡費用。

另外,趨勢科技也發現 Windows使用者在瀏覽特定網頁時可能會被安裝 Chrome 擴充功能(VirtualGirlfriend.crx)。當下載此擴充功能時,會指示受害者將其加入瀏覽器。接著 Maikspy 就能收集從網頁輸入的使用者名稱和密碼。

如果你授權它使用你的Twitter帳號,作者可以利用這個帳號來使用自動化工具散播廣告。 

 

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼

PCcillin 雲端版超強跨平台防護, 同時支援PC、Mac及Android智慧手機與平板電腦,一組序號可安裝在不同上網設備,讓您不管在何時、何地都能獲得跨平台的防護。

 

趨勢科技發現了稱為Maikspy的惡意軟體家族,這是會竊取使用者私人資料的多平台間諜軟體。這系列間諜軟體的目標是Windows和Android使用者,一開始出現就用成人遊戲作為偽裝,使用熱門美國AV女星來命名。Maikspy這個結合AV女星和間諜軟體的名稱從2016年開始出現。

根據分析最新Maikspy變種的結果顯示,使用者從感染了間諜軟體,這網站會散播惡意應用程式(包括2016年的成人遊戲),連到其C&C伺服器來從上傳中毒設備和電腦的資料。有多個Twitter帳號廣告了這款被稱為Virtual Girlfriend(虛擬女友)的成人遊戲,並透過短網址分享惡意網站。

Figure 1. Tweets that mention Virtual Girlfriend and the short link of hxxp://miakhalifagame[.]com/

圖1、提到Virtual Girlfriend的推特文章

Continue reading “「虛擬女友 」來了 ! Android和 Windows用戶當心雙平台間諜軟體偽裝成人遊戲 刷爆信用卡 盜密碼”

【Android手機用戶注意 】新一波間諜程式, 不只訊息看光光還竊取銀行帳密!

【Android手機用戶注意 】新一波間諜程式, 不只訊息看光光還竊取銀行帳密!

趨勢科技近期偵測到一波新網路攻擊,Android(安卓)惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定(DNS)進行散播,推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式,並喬裝成 Facebook 或 Chrome 等正常應用程式,進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料,不法人士瞄準了台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。

XLoader喬裝成Facebook或Chrome等正常應用程式,進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料
XLoader喬裝成Facebook或Chrome等正常應用程式,進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料

XLoader既是間諜程式,也是銀行木馬程式,一旦受害者裝置遭到感染之後,XLoader 除了可以掌握到所有應用程式的相關資訊、推播訊息,還能偷看簡訊、暗中錄下語音通話。更令人擔心的是,其會建立一個臨時的網站伺服器以進行網路釣魚來騙取受害者的個人資料,為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。它的惡意行徑眾多,以下列出部分:

  • 發送簡訊
  • 偷看簡訊
  • 暗中錄下通話
  • 啟用或停用 Wi-Fi 連線
  • 蒐集裝置上的所有聯絡人資料
  • 將裝置鈴聲模式設成靜音
  • 取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼)
  • 強迫裝置回到主畫面
  • 連上指定的網路
  • 模擬某個撥號音
  • 撥打指定電話號碼
  • 取得裝置上所有應用程式的清單

趨勢科技提醒一般消費者,XLoader會利用系統管理權限來隱藏自己,並在暗中執行惡意指令,因此受害者幾乎不易察覺,呼籲使用者應養成正確的資安習慣,例如設定高強度密碼、定期更新及修補路由器韌體、啟用路由器內建防火牆、定期檢查路由器設定等方式來防範家用或企業路由器漏洞的威脅。也建議系統管理員和資安人員應妥善設定路由器組態來防範DNS快取汙染這類的攻擊。

此攻擊會先入侵路由器然後竄改 DNS 設定,進而將受害者導向駭客指定的網域。接著受害者會收到緊急通知,引誘受害者去惡意網域下載 XLoader。

 

採用多層式防護 保護手機行動裝置資料與隱私

跨平台防護的PC-cillin 也同步支援 Android與 iOS行動裝置防護,可攔截上述相關惡意應用程式。除此之外,其多層式的防護也能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障使用者安全。

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
 即刻免費下載試用

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

更多關於此事件的訊息請參考

 

手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密

新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時,就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容,甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。

不僅如此,XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 它的惡意行徑包含: 發送簡訊、 啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。

手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密

 

 

Android 間諜程式與銀行木馬程式 XLoader 經由竄改 DNS 的手法散布

趨勢科技從三月初開始便偵測到一波新的網路攻擊,現在,這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器),進而散布及安裝惡意的 Android 應用程式,趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。

此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己,讓自己一直躲藏在裝置內。

假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。

圖 1:假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。 Continue reading “手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密”

安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者,發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來,就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員,可能與 2016 年發現的一個可疑網路間諜組織有關。

安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

基於其命令及控制 (C&C) 伺服器的相似性,我們也懷疑,此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT),入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機,用來竊取其他裝置的資訊

早在 2014 年,PoriewSpy 會竊取受害者裝置上的敏感資訊,例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的,惡意軟體的操作人員修改了此計畫的程式碼,加入了下列元件:

權限
android.permission.INTERNET 允許應用程式開啟網路通訊端
android.permission.RECORD_AUDIO 允許應用程式錄製音訊
android.permission.ACCESS_NETWORK_STATE 允許應用程式存取網路相關資訊
android.permission.READ_SMS 允許應用程式讀取簡訊
android.permission.READ_LOGS 允許應用程式讀取低層的系統日誌檔案
android.permission.GET_ACCOUNTS 允許存取 Accounts Service 中的帳戶清單
android.permission.READ_CONTACTS 允許應用程式讀取使用者的聯絡人資料
android.permission.READ_CALL_LOG 允許應用程式讀取使用者的通話記錄
android.permission.READ_PHONE_STATE 允許對手機狀態進行唯讀存取
android.permission.WRITE_EXTERNAL_STORAGE 允許應用程式寫入外部儲存裝置
android.permission.READ_EXTERNAL_STORAGE 允許應用程式從外部儲存裝置讀取
android.permission.RECEIVE_BOOT_COMPLETED 允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息
android.permission.BATTERY_STATS 允許應用程式更新收集到的電池統計資料
aandroid.permission.ACCESS_FINE_LOCATION 允許應用程式存取精確定位 (例如 GPS) 的位置
android.permission.ACCESS_WIFI_STATE 允許應用程式存取 Wi-Fi 網路相關資訊
android.permission.ACCESS_COARSE_LOCATION 允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置
android.permission.ACCESS_MOCK_LOCATION 允許應用程式建立用於測試的模擬位置提供者
android.permission.CHANGE_NETWORK_STATE 允許應用程式變更網路連線狀態
android.permission.CHANGE_WIFI_STATE 允許應用程式變更 Wi-Fi 連線狀態

1:惡意軟體作者修改 Android Image Viewer 所加入的權限

服務
AudioRecord 主要間諜元件
LogService 用來收集日誌
RecordService 音訊錄製

Continue reading “安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊”

最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)

最新手機/LINE詐騙簡訊/網路詐騙一覽表:(持續不斷更新)

不肖人士假冒LINE官方名義,以「米奇/米妮永久主題/貼圖免費下載」、「史努比、好想兔、開運柴犬免費動圖」、「全家禮券 300 元」等引誘民眾加入假的LINE@生活圈帳號,春節快到了,也要小心以賀歲之名的免費貼圖,暗藏陷阱。

網友加入假的LINE@生活圈帳號,說好的貼圖、禮券通通沒有。LINE呼籲,不要輕信轉傳得來的資訊,別輕易點擊任何不明的連結,以免個資外洩。

熟女網愛「戰地軍官」 險付260萬贖身費

台東的陳姓女子,月前在網路結交外國男友,對方假稱是美國派駐敘利亞的聯合國維和部隊司令藍弗,警方看見陳女手機簡訊中,對方要求陳女匯款帳戶竟是在大陸時,判斷確定是詐騙手法

愛情騙子盜用他人照片自稱是英國知名歌手,寄愛的禮物給高雄張女,但收禮物前,得補五萬稅金給快遞公司….

近日LINE流傳高鐵10周年、台鐵130周年活動送好康,雙鐵澄清是詐騙

 

超過百萬下載次數,卻是冒牌 WhatsApp?


再多折價券都是騙你的! 知名賣場的偽LINE帳號

近日傳出好市多、家樂福、全聯福利中心,遭不明人士冒用LINE官方帳號名義,以送折價金、禮券為誘因,要求網友分享轉傳,疑要騙取個資。台灣LINE辦公室昨表示,已緊急將問題帳號停權,也呼籲用戶勿輕易提供LINE ID、電話等個資。

5000元買iPhone的詐騙過程?

臉書團購尿布,女詐6800 萬!
又見臉書購物詐騙!買投影機寄來巧克力

【BEC 變臉詐騙/商務電子郵件詐騙 】新竹一間長期與中國代工廠合作的科技公司,原本都用對方「xxx@ximhan.net」信箱聯絡,沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號,以定期更換受款帳戶,以免遭洗錢犯罪利用為由,要求更改受款帳戶。該公司不疑有他,損失新台幣2千餘萬元

「L INE歡慶6周年簽到」活動是假的 !
LINE用戶瘋傳「L INE 歡慶6週年簽到」活動,加入好友後可抽免費貼圖;LINE今天表示,該活動並非官方舉辦,已將遭用戶檢舉的帳號停權,並提醒用戶小心個資外洩。

刑事警察局公布:風險賣場/網站排行

月薪七萬二!只要提供存款簿就好了?

最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單...)

警察通知我破案了,要用ATM退款?

警察打來說之前被詐騙的錢可以拿回了?等等,假的!

blog_pic

線上辦理退稅? 小心變成人頭戶

Continue reading “最新LINE詐騙簡訊/電話詐騙/網路詐騙一覽表!(朋友裝熟借錢、免費LINE貼圖、查詢電信帳單…)”

偽裝成無線網路安全應用程式,RottenSys將 Android 行動裝置變成殭屍網路

36個假資安之名廣告程式,藏身 Google Play,蒐集個資、追蹤位置,大賺廣告財

36個假資安之名廣告程式,藏身 Google Play,蒐集個資、追蹤位置,大賺廣告財2017 年 12 月初,趨勢科技在 Google Play 官方應用程式商店上總共發現了 36 個會出現不當行為的應用程式。這些應用程式皆有著貌似安全軟體/資安工具的應用程式名字,例如:Security Defender、Security Keeper、Smart Security、Advanced Boost 等等。此外更宣稱具備各種實用功能:掃瞄、清理系統、節省電力、幫 CPU 降溫、鎖住應用程式,以及提供訊息安全、WiFi 安全等等。

應用程式一旦執行之後,使用者就會看到一大堆安全警告、電量過低等通知及緊緊相隨的廣告訊息。例如,當使用者在安裝其它應用程式時,它會立即警告使用者該程式疑似惡意程式。或者,使用者可能會看到系統浪費了 10.0 GB 的空間,提醒使用者採取某種行動。在核對過原始程式碼之後,我們發現這些安全警告的其實都是假的,其目的是背後暗中蒐集使用者的資料、追蹤使用者的定位資訊,並大賺廣告財。

惡意應用程式會將使用者個人資料、已安裝的應用程式,以及附件檔案、使用者操作資訊、觸發的事件等資訊傳送至遠端伺服器。除此之外,還會蒐集 Android ID、網路卡實體位址 (MAC)、IMSI (行動電信業者識別資料)、作業系統資訊、裝置品牌與型號、裝置詳細資訊 (螢幕大小和畫素密度)、語言、地理位置資訊以及裝置已安裝應用程式。

 

要確保行動裝置安全並保護珍貴資料,使用者可採取以下五個基本動作:

  1. 廠商通常會盡速修補自家應用程式和軟體的漏洞,所以使用者務必隨時更新到最新版本。更新是保持行動裝置安全、防範已知威脅的必要動作。 Continue reading “36個假資安之名廣告程式,藏身 Google Play,蒐集個資、追蹤位置,大賺廣告財”

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

熱門的糖果遊戲為何需要存取你的通訊錄?

你知道有些應用程式可以用麥克風收音卻沒讓你知道嗎?

能夠控制相機的應用程式在使用相機時必須很明顯(像是在螢幕上顯示鏡頭看到什麼),不過在技術上並不總是如此。

它們的目的是什麼?

App的自動提醒功能超方便,卻會讓人知道你的位置和行程安排。如果你覺得不妥,那該怎麼辦?

 

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

手機安裝導航應用程式很實用,可以在你出門時告訴你需要在30分鐘內開車到行事曆中位於市區另一邊22分鐘車程的地方。為了做到這點,應用程式必須存取你的GPS位置和你的行事曆,可能還要隨時都監控著這些資訊。你或許並不想要分享這些。但這實用的自動提醒,卻會讓人知道你的位置和行程安排。如果你覺得不妥,那該怎麼辦?

手機應用程式融入我們的日常生活,有件事情是你該去思考衡量的:“隱私VS方便”。

Android作業系統有提供選項來處理這類情況,讓使用者自行設定應用程式所擁有的權限。打開Android設定,然後找到類似“應用程式管理員”或搜尋“權限”(這會依你所用的Android版本而異)。

 

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

Google Pixel XL的設定選單,作業系統是Android Oreo

 

你可以在這管理應用程式所能使用的服務,如:相機、地理位置、聯絡人等等。也有些相當重要的選項,像是在其他應用程式之上顯示內容或是鎖定和抹除設備上的所有內容。花些時間來好好設定,讓你能夠更加清楚應用程式在背後會做些什麼。 Continue reading “熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!”

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

Android的2017年12月安全更新修補了一個嚴重漏洞,這個漏洞會讓攻擊者在不影響簽章的情況下修改已安裝的應用程式。讓攻擊者能夠存取受影響的設備(間接地)。研究人員在去年 7月首次發現這個漏洞(被指定為CVE-2017-13156,也被稱為Janus漏洞),受到影響的Android版本包括5.1.1到8.0;約有74%的Android設備安裝這些版本。

趨勢科技發現至少有一個應用程式使用了這技術。這特定應用程式利用此漏洞讓自己更難被行動安全軟體偵測。之後也可能用來侵害其他應用程式並存取使用者資料。

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

漏洞分析

Android應用程式的安裝套件(.APK檔案)其實是.ZIP壓縮檔。.ZIP檔案格式有幾個特點讓這種攻擊發生。看看底下的基本.ZIP檔案結構:

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

1.ZIP檔案結構

 

檔案結構由三部分組成:檔案實體(File Entry)、核心目錄(Central Directory)和核心目錄結束(EOCD)。核心目錄包含壓縮檔內每個檔案的資料;應用程式使用此目錄來找出記憶體位置以存取所需的檔案。

不過每個檔案實體並不需要相鄰。甚至可以將任意資料放入.ZIP檔案的這部分,如下所示:

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

2ZIP檔案結構(紅色為任意資料)

 

攻擊者可以在APK檔案開頭放進一個惡意DEX檔案(如下所示)。有漏洞的Android版本仍會將其識別為有效的APK檔案並且執行。 Continue reading “高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP”

《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化趨勢科技發現有新的Android惡意軟體會利用Toast 覆蓋攻擊在行動設備上偷偷安裝惡意軟體:TOASTAMIGO,趨勢科技將其偵測為ANDROIDOS_TOASTAMIGO。其中一個惡意應用程式到2017年11月6日為止已經被安裝了10萬到50萬次,利用Android輔助功能讓它們至少能夠做到廣告點擊、安裝應用程式和自我保護/持久性功能。

覆蓋攻擊意指在其他執行中的應用程式、視窗或程序上疊加Android視圖(即圖像或按鈕)。一個典型的Toast覆蓋攻擊範例是用它來誘騙使用者點擊攻擊者所指定的視窗或按鈕。這種技巧在今年初被證實,利用的是Toast的一個漏洞(CVE-2017-0752,在去年九月修補),Toast是Android用來在其他應用程式之上顯示通知的功能。

TOASTAMIGO是我們第一次看到將這概念用來實際攻擊的案例。而就像之前的許多例子一樣,我們一定會看到此類威脅(以及它所下載/安裝的其它惡意軟體)的再進化(因為這次惡意軟體的能力相對較低調)或被其它網路犯罪份子所模仿。Android除了最新8.0(Oreo)以外的所有版本都會受到影響,所以使用早期版本的使用者也必須更新和修補自己的設備。

《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

圖1:Toast覆蓋攻擊如何運作的範例:一個正常圖像(左)被疊加了惡意軟體所觸發的實際動作,比如請求輔助權限

《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

圖2:Google Play上的惡意應用程式

 

感染鏈

這惡意軟體很諷刺地偽裝成合法的安全應用程式,應該會透過安全碼來保護設備上的應用程式。在安裝時,這些應用程式會通知使用者需要輔助功能權限來讓它運作。這是因應Android需要使用者明確授與權限的作法。授予權限後,應用程式會啟動一個看似“分析”應用程式的視窗。但在背後這應用程式會執行動作或命令,包括安裝其他的惡意軟體(因為它已經擁有權限)。

《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

圖3:惡意軟體執行截圖

Continue reading “《 手機病毒》防止被移除 、收集Google帳號  、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化”

Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊

Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢,還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》,宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式,宣稱可讓玩家自訂其角色造型。不過,這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格:GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示,此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著,C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後,應用程式會再連上歹徒指定的另一個伺服器,該伺服器會提供一份廣告清單及相關資料 (如:廣告類型、螢幕大小)。然後,應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化,就可以用來攻擊網路相關的漏洞。而且,憑著 Sockbot 挾持裝置的能力,被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。 Continue reading “Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊”

Android 手機勒索病毒再進化-更大、更壞、更強!

Android 手機勒索病毒再進化-更大、更壞、更強!行動裝置威脅不光只有資訊竊取程式和惡意程式而已,還有手機勒索病毒 Ransomware (勒索軟體/綁架病毒)。它們雖然不像電腦版的勒索病毒 (如 WannaCry(想哭)勒索蠕蟲 和 Petya) 威力那麼強,但隨著手機使用率越來越高 (尤其是企業),很自然地會有越來越多網路犯罪集團開發出這類威脅。

2017 年上半年偵測到 23.5萬 隻Android 手機勒索病毒,為 2016 一整年的 1.81 倍

以 Android 平台手機勒索病毒為例,去年 (2016年) 第四季趨勢科技偵測及分析到的變種數量是 2015 年同期的三倍。沒錯,增加幅度相當驚人。光 2017 年上半年我們就已經偵測到 235,000 個 Android 手機勒索病毒,這數量足足是 2016 一整年的 1.81 倍。

Android 手機勒索病毒再進化-更大、更壞、更強!

圖 1:Android 手機勒索病毒偵測數量比較 ─ 2016 與 2017 年前兩季。

然而最近突然爆發的一波專門針對 Android 裝置的鎖定螢幕與檔案加密惡意程式,也突顯出手機勒索病毒數量正不斷成長,其中包括:會模仿 WannaCry 並利用正常社群網站散布的 SLocker,以及威脅要將受害者個人資料公開的 LeakerLocker。現在,SLocker 的原始程式碼據聞已經被反組譯出來並外流至 GitHub 上,未來勢必將看到更多類似的威脅。

那麼,Android 加密勒索病毒目前的發展情況如何?行動裝置威脅情勢的未來展望又是如何?

Android 手機勒索病毒再進化-更大、更壞、更強!

圖 2:加密勒索病毒的典型行為。

從螢幕鎖定程式演變至檔案加密程式
過去,典型的 Android 手機勒索病毒都相當單純。它們會將裝置螢幕鎖住,然後顯示一個勒索訊息畫面。這類螢幕鎖定程式第一次演化成檔案加密勒索病毒是在 2014 年 5 月,也就是:Simple Locker (趨勢科技命名為 ANDROIDOS_SIMPLOCK.AXM),該病毒會將行動裝置內建儲存空間及 SD 卡上的檔案加密。從那時起,我們便陸續看到一些類似的威脅,其中某些變種甚至只是將原本的惡意程式重新包裝,然後就在第三方應用程式市集上架。其他的則是非常積極地頻繁發布更新以躲避偵測。事實上,我們甚至看到某個惡意程式作者在五月份修正其勒索病毒問題,以更新其勒索訊息顯示及取得的方式。 Continue reading “Android 手機勒索病毒再進化-更大、更壞、更強!”

下載應用程式至業務用手機,沒關係嗎?

 

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

下載應用程式至業務用手機,沒關係嗎?

是否曾經下載應用軟體至公司所配給的手機上?一般而言只要智慧型手機一到手,任何人都會想要下載自己喜歡的應用軟體吧。但是,公司所配給的智慧型手機未經過公司同意是嚴禁擅自下載應用軟體。

一般人透過第三方應用程式商店和分享網站下載時,往往不會檢查所下載應用程式的真實性,不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者,如Super Mario Run(超級瑪利歐酷跑)。讓某些應用程式特別危險的是,它們運作起來看似很像真正的應用程式,但會包含其他的惡意程式碼,如垃圾廣告,甚至是惡意軟體。 Continue reading “下載應用程式至業務用手機,沒關係嗎?”

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務趨勢科技研究人員發現了第一個攻擊 Dirty COW漏洞的Android 惡意軟體: AndroidOS_ZNIU,已有超過30萬款Android程式夾帶ZNIU。目前超過40個國家偵測到該惡意軟體,主要出現在中國和印度, 但美國、日本、加拿大、德國和印尼也有受害者。直到本文撰寫時,有超過5000名 Android 使用者被感染。在惡意網站上有超過1200隻偽裝成色情和遊戲的應用程式,夾帶能夠攻擊 Dirty COW漏洞rootkit的ZNIU惡意應用程式。

2016年首次曝光的Dirty COW為藏匿於Linux的提權漏洞(CVE-2016-5195),可允許駭客取得目標系統上的root權限。漏洞被發現在Linux平台,包含Redhat和使用了Linux核心的Android。針對Android的Dirty COW攻擊一直到近日才出現,猜測攻擊者花了許多時間來開發能夠在主要設備上穩定執行的漏洞攻擊碼。

 

Figure 1 porn app

圖1:藏有ZNIU的色情應用程式

 

趨勢科技在去年製作過Dirty COW的概念證明(POC)程式,並且發現所有版本的Android作業系統都有此漏洞,不過ZNIU對Dirty COW漏洞的攻擊只限於ARM/x86 64位元架構的Android設備。另外,最近的這波攻擊可以繞過SELinux來植入後門程式,而 PoC程式只能修改系統的服務程式碼。

趨勢科技監視了6個 ZNIU rootkit,其中4個是Dirty COW漏洞攻擊碼。另外兩個是KingoRoot(一個rooting應用程式)及Iovyroot漏洞攻擊碼(CVE-2015-1805)。ZNIU使用KingoRoot和Iovyroot是因為它們可以破解ARM 32位元CPU的設備,而這是Dirty COW rootkit所做不到的。

感染流程

ZNIU惡意軟體經常偽裝成色情應用程式埋伏在惡意網站上,誘騙使用者點擊安裝。一但執行,ZNIU會跟C&C伺服器進行通訊。如果有可更新的程式碼,它會從C&C伺服器取得並載入系統。同時會利用Dirty COW漏洞來提升本地端權限,解除系統限制和植入後門,為未來遠端控制攻擊鋪路。

Figure 2 ZNIU infection chain

圖2:ZNIU感染鏈

 

進入設備主畫面後,惡意軟體會取得用戶電信業者的資訊,偽裝成設備所有人,利用基於簡訊的支付服務與電信業者進行交易。透過受害者的行動設備,ZNIU背後的操作者可以利用電信業者的付費服務獲利,有個案例是將款項轉至某個位於中國的虛設公司。當交易結束後,惡意軟體會刪除設備上的交易訊息,不留下電信業者和惡意軟體操作者間的交易紀錄。如果是中國以外的電信業者,就不會進行交易,但是惡意軟體還是可以攻擊系統漏洞來植入後門。

Figure 3 Transaction request sent by the malware to the carrier

圖3:從惡意軟體送給電信業者的交易請求

 

每月人民幣20元小額交易,避免驚動受害者

根據趨勢科技的分析,惡意軟體似乎只針對使用中國電信商的用戶。而且僅管惡意軟體操作者可以設定更高金額來從漏洞攻擊獲得更多金錢,但還是刻意的將每筆交易故意設為小額(每個月20元人民幣或3美元)來避免被發現。

Figure 4 Screenshot of the SMS transactions

圖4:SMS交易截圖

Continue reading “第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務”

你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。

約有14億用戶的Android設備,讓網路駭客嗅到銅臭味,覬覦這個賺黑心錢的大餅,智慧型手機成為攻擊目標。根據諾基亞的統計,針對Android設備的攻擊佔去年行動設備攻擊的81%,而在10月,中毒設備也佔了所有設備的1.35%,這是前所未有的紀錄。我們的數位生活越來越依賴行動設備,智慧型手機在2016年激增400%,如果它們遭受壞人攻擊,最終的受損的還是消費大眾,問題已經迫在眉睫了。

Android惡意軟體濫打電話傳簡訊,還可遠端控制你的手機

開發人員很容易將應用程式上傳到Google的官方Play商店或世界各地眾多的第三方應用程式市場。但是這樣的開放性可能會帶來安全問題。儘管Google越來越嚴格地審查應用程式是否潛藏惡意內容,並且一旦發現就會將其移除,但你仍然可能會選擇和安裝到惡意軟體。

就在最近,研究人員發現了超過1000個帶有SonicSpy的應用程式,這是會劫持受感染設備來竊聽使用者的Android惡意軟體,或打電話和傳簡訊到付費服務號碼。至少有三個版本出現在Google Play上。最近的Android惡意軟體還有GhostCRL,它可以讓駭客遠端控制設備;以及MilkyDoor,它已經透過Google Play被安裝了100萬次。

你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!

 

不到3%的使用者使用最新最安全的 Android 作業系統版本

更新修補(安裝最新的安全更新)是保護電腦或行動設備降低中毒機率最簡單的作法。但在開放的Android生態系中,Google所釋出的修補程式安裝比例仍然偏低。Google在其最新的Android安全年度評估報告中指出,在2016年只有一半的Android設備已經被修補。雖然這已經比前幾年有所改善,但還是遠遠不夠。事實上,不到3%的使用者使用最新最安全的作業系統版本。

你用智慧型手機看電子郵件,使用社群媒體、買東西、看影片、傳簡訊甚至進行網路銀行交易,駭客都有辦法知道!

駭客知道我們用智慧型手機做一切事情,從看電子郵件和社群媒體、買東西、看影片、傳簡訊給朋友和進行網路銀行交易。這讓行動設備成為惡意軟體和社交工程詐騙的主要目標,為了竊取或誘騙我們交出登錄憑證和財務資訊。

為了從我們的手中拿走血汗錢,駭客們開發了一系列的工具和手段,包括銀行木馬、勒索病毒、間諜軟體、網路釣魚和付費服務簡訊惡意軟體。

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。 Continue reading “你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!”

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 Continue reading “BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證”

Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!

Android的Toast漏洞覆蓋(Overlay)攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

「Android 趨勢科技」的圖片搜尋結果

 安全研究人員警告使用者關於可能導致Toast覆蓋(overlay)攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體,將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

隱藏按鈕可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒 

覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。

這是什麼意思?比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式,甚至是劫持螢幕和並鎖住使用者的勒索病毒。

[延伸閱讀:CVE-2017-0780:阻斷服務漏洞可能導致Android訊息應用程式崩潰]

 

這個覆蓋攻擊做了什麼?

覆蓋攻擊本身並不新,而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可,並且必須從Google Play安裝。

但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞,Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會(IEEE)在最近的黑帽(Black Hat)安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。

 

[延伸閱讀:Android 手機勒索病毒再進化-更大、更壞、更強!]

所有版本的Android都有此漏洞,Toast甚至可以覆蓋整個螢幕

所有版本的Android都有此漏洞,除了最新的Oreo。Android Nougat有個預防措施,就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外,Toast不需要與Android其他視窗有相同的權限,甚至可以利用Toast來覆蓋整個螢幕。

[延伸閱讀:GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]

 

你能做什麼?保持作業系統和應用程式更新,只從官方Google Play或可信賴的來源下載

此漏洞(CVE-2017-0752)的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現,但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。 Continue reading “Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!”

Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線

銀行木馬 EMOTET和Trickbot 在沉寂一段時間後再度死灰復燃,(趨勢科技將它們分別偵測為TSPY_EMOTET和TSPY_TRICKLOAD)。這些銀行病毒都是經由社交工程(social engineering )惡意垃圾郵件或網路釣魚(Phishing)郵件散播。安全研究人員指出它們還會利用蠕蟲、下載其它惡意軟體以及模仿銀行網域等方式散播。

 Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線

EMOTET能夠“竊聽”經由網路連線傳輸的資料,以繞過HTTPS安全連線,並躲避傳統的偵測技術

EMOTET首次現身於 2014年: 假冒銀行轉帳通知!!利用網路監聽竊取資料 跟其他利用惡意網頁來竊取銀行資料的銀行惡意軟體不同,EMOTET能夠“竊聽”經由網路連線傳輸的資料。這讓攻擊者可以繞過像HTTPS這樣的安全連線,並且躲避傳統的偵測技術。在2016年12月,趨勢科技發現它再度出現在相同地區,還包括了熟悉的舊資料竊取軟體DRIDEXZeuS/ZBOT

最近再度出現的EMOTET還會植入DRIDEX病毒。垃圾郵件內的惡意連結會將受害者導向下載一個Word文件,內嵌會觸發PowerShell腳本的Visual Basic程式碼。這腳本會下載並執行EMOTET及其他惡意軟體,其中最常見的是DRIDEX,放在各攻擊者所擁有的網域。

 

Trickbot銀行木馬偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集

Trickbot銀行木馬是前輩DYRE/Dyreza惡意軟體的接班人,它會利用以假亂真的銀行網頁。也透過夾帶HTML檔案的惡意垃圾郵件散播。這些HTML檔案會下載偽裝成登錄表格的Word文件,實際上嵌入了會從網路犯罪分子的命令與控制(C&C)伺服器下載Trickbot的惡意巨集。 Continue reading “Android 銀行木馬再進化,冒充影片播放 app, 竊取銀行憑證和信用卡資料,還可繞過HTTPS安全連線”

叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

叫車程式會儲存及使用個人金融資訊和身分資料,FakeToken 變種木馬會即時監控 Android 裝置上所安裝的這類應用程式並試圖偷取相關資料。當使用者執行某個叫車程式時,FakeToken 就會顯示一個網路釣魚畫面並將它重疊在原本的應用程式畫面上,騙受害者輸入信用卡資料。而且網路釣魚畫面長得跟就像原本的應用程式一樣,包括標誌和配色等等。 此外,這一版的 FakeToken 還會攔截手機收到的簡訊,監控手機通話並錄音

趨勢科技提醒您,請勿在網路上分享過多個人資訊,同時也盡可能減少您提供給應用程式的權限。還有,務必小心一些不請自來的簡訊

叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

您是否正準備使用您最愛的叫車程式來規劃您接下來的路線呢?請注意,如果該程式曾經不只一次向您要求輸入信用卡資料,那這很可能是個惡意程式。

資安研究人員發現,目前有個 Android 叫車應用程式其實是 FakeToken 銀行木馬程式所假冒 (趨勢科技命名為 ANDROIDOS_FAKETOKEN)。除此之外,該版本的 FakeToken 還會冒充成一些交通罰單或飯店和機票訂位的支付程式。  Continue reading “叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身”

Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

Continue reading “Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制”

誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

目前,資安研究人員已 發現有超過 1,000 個應用程式感染了 SonicSpy 間諜程式 (趨勢科技命名為 ANDROIDOS_SONICSPY.HRX),這是一個可讓駭客操控 Android 裝置的惡意程式。

誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

SonicSpy 是以熱門即時通訊軟體 Telegram 的開放原始碼為基礎所開發出來,其開放原始碼的用意就是希望讓大家能打造屬於自己的通訊平台。但 SonicSpy 卻在該軟體當中加入間諜與遠端遙控功能,然後換個名字將應用程式上架,例如:Soniac、Hulk Messenger、Troy Chat 等等。

目前感染 SonicSpy 的應用程式數量已超過  4,000 個,顯示 SonicSpy 背後應該有一個自動化開發流程。此外,資安研究人員也指出,這些間諜程式也會透過第三方應用程式市集和 網路釣魚簡訊來散布。網路釣魚簡訊 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。

[TrendLabs 資安部落格文章:Android 後門程式 GhostCtrl 可暗中錄音、錄影,而且還不只這樣…]

竊聽、偷拍、撥打高費率付費服務電話….SonicSpy 具備 73 種遠端遙控指令

SonicSpy 具備 73 種遠端遙控指令,其中包括:

  • 經由手機的麥克風來錄音。
  • 啟動手機的相機來拍照。
  • 對外撥打電話或發送簡訊到指定號碼,例如撥打高費率付費服務電話。
  • 讀取手機上的通話記錄、通訊錄名單以及 Wi-Fi 熱點清單。

Continue reading “誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!”

 “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

趨勢科技的研究人員發現一個新變種SLocker會在Android上模仿WannaCry(想哭)加密勒索病毒介面。這被偵測為ANDROIDOS_SLOCKER.OPSCB的新SLocker行動勒索病毒的特點是會利用中國社群網路QQ的功能,還會持續鎖住螢幕。

SLocker是在7月被首度偵測和分析的Android檔案加密勒索病毒,會模仿WannaCry的介面。隨然中國警方已經逮捕遭指控的勒索病毒作者,但其他的 SLocker 操作者顯然仍未受影響,持續發佈新變種。

  “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看

偽裝遊戲作弊工具,討論熱門手遊的QQ聊天群組成毒窟

受害者大多是從討論熱門手遊“王者榮耀”的QQ聊天群組感染這行動勒索病毒,這也是之前版本的傳染媒介。它會偽裝成遊戲作弊工具,使用名稱“錢來了”或“王者榮耀修改器”來作偽裝。這遊戲在中國非常受歡迎,有兩億的註冊使用者

病毒樣本被封裝成“com.android.admin.hongyan”(hongyan就是“紅顏”)和“com.android.admin.huanmie”(huanmie就是“幻滅”)。這兩個詞常被用在中國小說中,在青少年中很普及。

SLocker 中文簡體字勒索訊息自問自答寫著:

  • 發生了什麼?
    》你的文件被我加密了,解密的話帯好錢來聯繫我喔!
  • 除了付款有其破解方法嗎?
    》幾乎是沒有的,除非找我付款解密

先前的版本,還很狂妄地說:沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔…

還要受害者注意語氣,沒錢不要來騷擾

SLocker 中文簡體字勒索訊息自問自答寫著: 發生了什麼? 》你的文件被我加密了,解密的話帯好錢來聯繫我喔! 除了付款有其破解方法嗎? 》幾乎是沒有的,除非找我付款解密
SLocker 中文簡體字勒索訊息

 

加密檔案螢幕截圖
加密檔案螢幕截圖

 

新變種的附加功能: 將受害者導向一個討論製作勒索病毒賺錢的QQ論壇

除了圖形介面(也有些設計變動)和可以在假工具執行時變更手機桌布外,這個新變種SLocker和之前版本並沒有其他相似之處。跟ANDROIDOS_SLOCKER.OPST不同,新變種使用Android整合開發環境(AIDE),這是可以直接在Android上開發Android應用程式的軟體。要注意的是,使用AIDE可以讓勒索病毒操作者更加容易製作Android軟體(APK),這樣的便利性會吸引新手來開發自己的病毒變種。 Continue reading ” “你的文件被加密了…帯好錢來聯繫我”簡中版勒索病毒 SLocker 模仿WannaCry 向錢看”

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知,勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker),然而,最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金,否則就將資料發送給通訊錄中的每一個人。

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

透過三個 Google Play上的應用程式散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布:「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架,趨勢科技將該病毒命名為:ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫,但這樣的可能性卻很高,因為它們全都散布同一個勒索病毒。除此之外,我們也在 Google Play 商店上發現一些名稱相似的應用程式,雖然我們仍不確定它們與前述惡意程式有何關聯,但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

 我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下:

 A quick glance at LeakerLocker reveals the following infection vector:

Figure 1

Figure 1: LeakerLocker infection diagram

圖 1:LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載,在本文發布時,該應用程式已經遭到下架,而我們也早已將前述應用程式通報給 Google。

Figure 2

圖 2:Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大,惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後,首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說,若受害手機上沒有太多聯絡人、照片、通話記錄的話,惡意程式將會放棄而中止執行。

Figure 3

圖 3:檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

Continue reading “這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了”

別輕忽孩子暑假的上網習慣!

別輕忽孩子暑假的上網習慣! 開啟趨勢安全達人「兒少防護網」,保護孩子的上網安全。

暑假來臨,是孩子們最歡樂自由的時光,但大人卻也繃緊神經,不僅要注意孩子與好友們出遊的安全,每天在網路上瀏覽的資訊更要注意!

雖然每個年代的娛樂方式都不同,但小孩接觸的資訊及行為卻是越來越複雜,對於不良的事物更是防不勝防,除了可能沉迷遊戲、社群軟體甚至有機會誤入色情網站。

根據台灣教育部調查,在平日上課期間,國小學生平均近1小時,國中生近2小時,高中職學生則是超過2小時的時間!
若是週休二日或是暑假時間呢?結果更是變本加厲,國小2小時,國中近4小時,高中職平均已經超過4小時了!隨著年紀越大沉迷的狀況越顯嚴重,而且對於出現瀏覽的內容更是難以掌控。

趨勢安全達人特地為了用戶上網的安全,開發一個「上網防護」的功能

別輕忽孩子暑假的上網習慣!

Continue reading “別輕忽孩子暑假的上網習慣!”

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際,趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App,被駭客鎖定放置惡意後門程式,以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式,主要是針對 安卓 (Android )用戶,會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲,誘騙使用者上鉤。

Snippets-FB

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料,能造成的威脅還不只這樣 (至少就衝擊面來看是如此),它還會引來一個更危險的威脅,那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名,是因為它會暗中操控感染裝置的多項功能。

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能,第二版會進一步操控更多功能,第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看,未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地,各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學,有些人甚至還幫它開發了一些修補程式。

事實上,有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖),由於這是一個 RAT 服務,因此這一點其實可以在程式編譯的時候修改 (或移除)。

 

 

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

圖 1:從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsappPokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式,名稱大多叫做 App、MMS、whatsapp,甚至是 Pokemon GO。當應用程式啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行:

 

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置
圖 2:外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能,而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來,惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令,透過「new Socket(hefklife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密,APK 在收到之後會自行解密。有趣的是,趨勢科技也發現此後門程式在連線時會使用網域名稱,而非 C&C 伺服器的 IP 位址,這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址:

  • hef–ddns.net
  • f–ddns.net
  • no-ip.biz
  • no-ip.biz

值得注意的是,指令中可包含動作代碼和物件資料,駭客可透過這方式來指定攻擊目標和攻擊內容,因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能,讓使用者毫不知情。

以下是一些動作代碼和其對應的動作:

  • 動作代碼 = 10、11:操控 Wi-Fi 狀態。
  • 動作代碼 = 34:監控手機各感應器的即時資料。
  • 動作代碼 = 37:設定手機使用介面模式,如夜晚模式/車用模式。
  • 動作代碼 = 41:操控震動功能,包括振動方式和時機。
  • 動作代碼 = 46:下載圖片來當成桌布。
  • 動作代碼 = 48:列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
  • 動作代碼 = 49:刪除指定目錄中的檔案。
  • 動作代碼 = 50:重新命名指定目錄中的檔案。
  • 動作代碼 = 51:上傳某個想要的檔案至 C&C 伺服器。
  • 動作代碼 = 52:建立一個指定的目錄。
  • 動作代碼 = 60:使用文字轉語音功能 (將文字轉成音訊)。
  • 動作代碼 = 62:傳送 SMS/MMS 簡訊至駭客指定的號碼;內容可自訂。
  • 動作代碼 = 68:刪除瀏覽器歷史記錄。
  • 動作代碼 = 70:刪除 SMS 簡訊。
  • 動作代碼 = 74:下載檔案。
  • 動作代碼 = 75:撥打駭客指定的電話號碼。
  • 動作代碼 = 77:打開活動檢視應用程式,駭客可指定統一資源識別碼 (Uniform Resource Identifier,簡稱 URI),如:開啟瀏覽器、地圖、撥號的檢視等等。
  • 動作代碼 = 78:操控系統的紅外線發射器。
  • 動作代碼 = 79:執行駭客指定的指令列命令,並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令,用於竊取裝置的資料,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,如:通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

 

 

 

 

Continue reading “Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置”

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

繼淘寶上出現「高仿版」的WannaCry 病毒,售價10 人民幣之後,上個月稍早,趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為:ANDROIDOS_SLOCKER.OPST),其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年之後,突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒 。

不過,雖然這個 SLocker 變種可將手機上的檔案加密,但卻沒有肆虐多久。因為,就在該病毒的詳細手法被公開之後,不久便出現針對該病毒的解密工具,為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天,一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播),因此受害者數量非常稀少。

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

圖 1:此勒索病毒相關的時間點。

 

趨勢科技最早取得的樣本是假冒成《王者榮耀》遊戲的作弊程式,叫做「王者荣耀辅助」。在安裝之後,其畫面長得很像 WannaCry 病毒,但這已經不是第一次該病毒出現仿冒者

第一個模仿 WannaCry 的手機勒索病毒

圖 2:第一個模仿 WannaCry 的手機勒索病毒。

Continue reading “假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶”

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 Continue reading “Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次”

木馬程式不當取得用戶個資 Android裝置又有惡意程式

趨勢科技資安團隊偵測Android平台時發現廣告木馬程式Xavier內嵌在逾800個手機App中,全數共累積數百萬人次下載,並利用這些App暗中竊取用戶個資。

駭客利用Xavier蒐集和洩漏用戶的裝置資料,硬體面包括製造商、SIM卡製造商、產品名稱裝置ID等,個人化設定像是裝置名稱、使用語言、作業系統版本、已安裝應用程式、Google Play帳號,以及最常使用的電子郵件地址等。除了盜取資訊外,資訊攻擊已進化到讓駭客可以遠端鎖定你的行動裝置並安裝其他應用程式套至裝置內部,造成用戶難以察覺中毒。大多數下載遭Xavier感染App的用戶,都來自東南亞國家。 Continue reading “木馬程式不當取得用戶個資 Android裝置又有惡意程式”

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

 “想看完整影片?請升級會員 “ 但有些影片,就算升到最高等級,付錢後,還是看不到影片….這是近日一批色情應用程式的技倆 !

激情快播 (SexQvodPlay),AV大片 (AVPlayer),优优快播 (UUQvodPlay),3D快播 (3DQvodPlay),春爱影院 (SexMovie),幻想影院 (DreamMovie),绝密影院 (BannedMovie),AV快播 (AVQvodPlay),成人影院 (AdultMovie)…..這些不肖色情應用程式在亞洲蔓延,這批色情應用程式會產生一大堆廣告,甚至引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊,甚至還會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼,以及裝置的 SIM 卡序號。

若使用者離線,或者應用程式在審查嚴格的地區執行時,應用程式就會假裝成一般正常程式。比如提供「名言佳句」的應用程式。但是,一旦離開”警戒區”,這些應用程式就會露出真面目….

網路上最熱門的賺錢管道之就是色情,不論是合法的色情內容,或是利用色情為餌的各種網路詐騙。去年,趨勢科技發現了一個專門透過色情網站散布的新木馬程式變種:Marcher。前年,歹徒利用熱門色情應用程式為誘餌,入侵了南韓數百萬民眾的手機。

色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店

最近又出現了一波利用這類誘餌的詐騙。我們發現,有大量中文介面的色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店。目前有數十萬個這種 非必要程式 ( Potentially unwanted application 簡稱 PUA) 正透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為,不過會蒐集使用者的敏感資訊,如果在 Android 裝置上,還可攔截使用者的私人簡訊。

趨勢科技發現這類色情應用程式正如火如荼地四處散播,而且如果使用者不在特定地區,它們還會偽裝成正常程式。其背後的散播者 (目前我們在這數十萬個程式背後找出了兩名散播者) 還會假冒知名企業來取得這些不肖程式所需的企業憑證。這些色情應用程式甚至根本無法看到其宣稱的內容,歹徒只是誘騙使用者下載更多應用程式來讓他們賺錢,或者引誘使用者購買 VIP 會員之後就沒有下文。

惡意連結,通常放在色情網站或廣告上

為了散布這些應用程式,歹徒使用了三層式派送架構:惡意連結 (通常放在色情網站或廣告上)、安裝機制 (通常偽裝成正常的應用程式安裝網站)、後台伺服器 (用來製作與存放 PUA)。當使用者點選惡意連結,就會被導向惡意程式安裝機制,接著會出現畫面請使用者下載後台伺服器上的某個應用程式。

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

圖 1:三層式派送架構:惡意連結–>安裝機制–>後台伺服器。

經由這樣的架構,歹徒很容易將這類程式 散布到各種作業系統。不過,這個機制要能運作,歹徒必須蒐集使用者系統的相關資訊。一旦確定使用者所使用的作業系統之後,就會將使用者導向不同的網址來下載對應的應用程式。

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

圖 2:歹徒的程式碼會根據不同瀏覽器版本來安裝不同應用程式。

主要分佈在中國大陸,其次為日本和台灣

趨勢科技已發現多個色情網站就是利用 HTTP 重導的方式來散布不同的應用程式。由於此方法成效良好,因此這些不肖應用程式已經蔓延至許多亞洲國家,大多數都是華人地區,原因應該是這些程式都是中文介面:

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

圖 3:Android 不肖色情應用程式蔓延至許多亞洲國家,台灣排行第三

含有不肖色情應用程式連結的色情網站 Continue reading “數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三”

百度音乐,手机百度,凤凰视频,爱奇艺PPS...Moplus SDK 的問題延燒到非百度應用程式

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”