Android (安卓) - 資安趨勢部落格

Android 手機勒索病毒再進化-更大、更壞、更強!

2017 年 10 月 16 日2017 年 10 月 06 日趨勢科技 TrendMicro

行動裝置威脅不光只有資訊竊取程式和惡意程式而已，還有手機勒索病毒 Ransomware (勒索軟體/綁架病毒)。它們雖然不像電腦版的勒索病毒 (如 WannaCry(想哭)勒索蠕蟲和 Petya) 威力那麼強，但隨著手機使用率越來越高 (尤其是企業)，很自然地會有越來越多網路犯罪集團開發出這類威脅。

2017 年上半年偵測到 23.5萬隻Android 手機勒索病毒，為 2016 一整年的 1.81 倍

以 Android 平台手機勒索病毒為例，去年 (2016年) 第四季趨勢科技偵測及分析到的變種數量是 2015 年同期的三倍。沒錯，增加幅度相當驚人。光 2017 年上半年我們就已經偵測到 235,000 個 Android 手機勒索病毒，這數量足足是 2016 一整年的 1.81 倍。

圖 1：Android 手機勒索病毒偵測數量比較 ─ 2016 與 2017 年前兩季。

然而最近突然爆發的一波專門針對 Android 裝置的鎖定螢幕與檔案加密惡意程式，也突顯出手機勒索病毒數量正不斷成長，其中包括：會模仿 WannaCry 並利用正常社群網站散布的 SLocker，以及威脅要將受害者個人資料公開的 LeakerLocker。現在，SLocker 的原始程式碼據聞已經被反組譯出來並外流至 GitHub 上，未來勢必將看到更多類似的威脅。

那麼，Android 加密勒索病毒目前的發展情況如何？行動裝置威脅情勢的未來展望又是如何？

圖 2：加密勒索病毒的典型行為。

從螢幕鎖定程式演變至檔案加密程式
過去，典型的 Android 手機勒索病毒都相當單純。它們會將裝置螢幕鎖住，然後顯示一個勒索訊息畫面。這類螢幕鎖定程式第一次演化成檔案加密勒索病毒是在 2014 年 5 月，也就是：Simple Locker (趨勢科技命名為 ANDROIDOS_SIMPLOCK.AXM)，該病毒會將行動裝置內建儲存空間及 SD 卡上的檔案加密。從那時起，我們便陸續看到一些類似的威脅，其中某些變種甚至只是將原本的惡意程式重新包裝，然後就在第三方應用程式市集上架。其他的則是非常積極地頻繁發布更新以躲避偵測。事實上，我們甚至看到某個惡意程式作者在五月份修正其勒索病毒問題，以更新其勒索訊息顯示及取得的方式。繼續閱讀

下載應用程式至業務用手機,沒關係嗎?

2017 年 10 月 05 日2017 年 09 月 18 日趨勢科技 TrendMicro

是否曾經下載應用軟體至公司所配給的手機上？一般而言只要智慧型手機一到手，任何人都會想要下載自己喜歡的應用軟體吧。但是，公司所配給的智慧型手機未經過公司同意是嚴禁擅自下載應用軟體。

一般人透過第三方應用程式商店和分享網站下載時,往往不會檢查所下載應用程式的真實性，不瞭解這些應用程式中有很大量是惡意的。網路犯罪分子經常會偽裝成新或受歡迎應用程式的合法下載來誘騙使用者，如Super Mario Run(超級瑪利歐酷跑)。讓某些應用程式特別危險的是，它們運作起來看似很像真正的應用程式，但會包含其他的惡意程式碼，如垃圾廣告，甚至是惡意軟體。繼續閱讀

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務

2017 年 10 月 03 日2017 年 10 月 13 日趨勢科技 TrendMicro

趨勢科技研究人員發現了第一個攻擊 Dirty COW漏洞的Android 惡意軟體: AndroidOS_ZNIU,已有超過30萬款Android程式夾帶ZNIU。目前超過40個國家偵測到該惡意軟體，主要出現在中國和印度, 但美國、日本、加拿大、德國和印尼也有受害者。直到本文撰寫時，有超過5000名 Android 使用者被感染。在惡意網站上有超過1200隻偽裝成色情和遊戲的應用程式,夾帶能夠攻擊 Dirty COW漏洞rootkit的ZNIU惡意應用程式。

2016年首次曝光的Dirty COW為藏匿於Linux的提權漏洞（CVE-2016-5195），可允許駭客取得目標系統上的root權限。漏洞被發現在Linux平台,包含Redhat和使用了Linux核心的Android。針對Android的Dirty COW攻擊一直到近日才出現，猜測攻擊者花了許多時間來開發能夠在主要設備上穩定執行的漏洞攻擊碼。

圖1：藏有ZNIU的色情應用程式

趨勢科技在去年製作過Dirty COW的概念證明（POC）程式，並且發現所有版本的Android作業系統都有此漏洞，不過ZNIU對Dirty COW漏洞的攻擊只限於ARM/x86 64位元架構的Android設備。另外，最近的這波攻擊可以繞過SELinux來植入後門程式，而 PoC程式只能修改系統的服務程式碼。

趨勢科技監視了6個 ZNIU rootkit，其中4個是Dirty COW漏洞攻擊碼。另外兩個是KingoRoot（一個rooting應用程式）及Iovyroot漏洞攻擊碼（CVE-2015-1805）。ZNIU使用KingoRoot和Iovyroot是因為它們可以破解ARM 32位元CPU的設備，而這是Dirty COW rootkit所做不到的。

感染流程

ZNIU惡意軟體經常偽裝成色情應用程式埋伏在惡意網站上,誘騙使用者點擊安裝。一但執行，ZNIU會跟C&C伺服器進行通訊。如果有可更新的程式碼，它會從C&C伺服器取得並載入系統。同時會利用Dirty COW漏洞來提升本地端權限，解除系統限制和植入後門,為未來遠端控制攻擊鋪路。

圖2：ZNIU感染鏈

進入設備主畫面後，惡意軟體會取得用戶電信業者的資訊,偽裝成設備所有人,利用基於簡訊的支付服務與電信業者進行交易。透過受害者的行動設備，ZNIU背後的操作者可以利用電信業者的付費服務獲利,有個案例是將款項轉至某個位於中國的虛設公司。當交易結束後，惡意軟體會刪除設備上的交易訊息，不留下電信業者和惡意軟體操作者間的交易紀錄。如果是中國以外的電信業者，就不會進行交易，但是惡意軟體還是可以攻擊系統漏洞來植入後門。

圖3：從惡意軟體送給電信業者的交易請求

每月人民幣20元小額交易,避免驚動受害者

根據趨勢科技的分析，惡意軟體似乎只針對使用中國電信商的用戶。而且僅管惡意軟體操作者可以設定更高金額來從漏洞攻擊獲得更多金錢，但還是刻意的將每筆交易故意設為小額（每個月20元人民幣或3美元）來避免被發現。

圖4：SMS交易截圖

繼續閱讀

你用手機看電子郵件,使用FB、買東西、看影片、傳簡訊,駭客都有辦法知道!

2017 年 09 月 29 日2017 年 09 月 12 日趨勢科技 TrendMicro

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。

約有14億用戶的Android設備,讓網路駭客嗅到銅臭味,覬覦這個賺黑心錢的大餅，智慧型手機成為攻擊目標。根據諾基亞的統計，針對Android設備的攻擊佔去年行動設備攻擊的81%，而在10月，中毒設備也佔了所有設備的1.35%，這是前所未有的紀錄。我們的數位生活越來越依賴行動設備，智慧型手機在2016年激增400%，如果它們遭受壞人攻擊，最終的受損的還是消費大眾,問題已經迫在眉睫了。

Android惡意軟體濫打電話傳簡訊,還可遠端控制你的手機

開發人員很容易將應用程式上傳到Google的官方Play商店或世界各地眾多的第三方應用程式市場。但是這樣的開放性可能會帶來安全問題。儘管Google越來越嚴格地審查應用程式是否潛藏惡意內容，並且一旦發現就會將其移除，但你仍然可能會選擇和安裝到惡意軟體。

就在最近，研究人員發現了超過1000個帶有SonicSpy的應用程式，這是會劫持受感染設備來竊聽使用者的Android惡意軟體，或打電話和傳簡訊到付費服務號碼。至少有三個版本出現在Google Play上。最近的Android惡意軟體還有GhostCRL，它可以讓駭客遠端控制設備；以及MilkyDoor，它已經透過Google Play被安裝了100萬次。

不到3%的使用者使用最新最安全的 Android 作業系統版本

更新修補（安裝最新的安全更新）是保護電腦或行動設備降低中毒機率最簡單的作法。但在開放的Android生態系中，Google所釋出的修補程式安裝比例仍然偏低。Google在其最新的Android安全年度評估報告中指出，在2016年只有一半的Android設備已經被修補。雖然這已經比前幾年有所改善，但還是遠遠不夠。事實上，不到3%的使用者使用最新最安全的作業系統版本。

你用智慧型手機看電子郵件,使用社群媒體、買東西、看影片、傳簡訊甚至進行網路銀行交易,駭客都有辦法知道!

駭客知道我們用智慧型手機做一切事情，從看電子郵件和社群媒體、買東西、看影片、傳簡訊給朋友和進行網路銀行交易。這讓行動設備成為惡意軟體和社交工程詐騙的主要目標，為了竊取或誘騙我們交出登錄憑證和財務資訊。

為了從我們的手中拿走血汗錢，駭客們開發了一系列的工具和手段，包括銀行木馬、勒索病毒、間諜軟體、網路釣魚和付費服務簡訊惡意軟體。

威脅可能來自各種地方。可能是你剛登入沒有安全防護的公共無線熱點。或是你剛剛安裝的應用程式並非像它所聲稱的那樣。它可能隱藏在電子郵件的附件檔或是簡訊、即時通和社群媒體貼文內的連結。甚至可能潛伏在合法網站的惡意廣告內。繼續閱讀

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

2017 年 09 月 21 日2020 年 06 月 11 日趨勢科技 TrendMicro

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導，它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險，是因為它會偽裝正常的銀行應用程式，將自己的網頁覆蓋在正常的銀行應用程式操作介面上，進而騙取使用者的帳號密碼。此外，BankBot 還能攔截手機簡訊，因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中，Bankbot 一直偽裝成正常的應用程式到處散布，有些甚至在熱門應用程式商店上架。今年 4 月和 7 月，Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式，總數超過 20 個以上。

最近，趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式，其中有四個假冒成工具軟體。有兩個被立即下架，其他兩個則待得久一點，因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外，被假冒的應用程式數量也從 150 個增加到 160 個，新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作：

執行環境必須是真實的裝置 (而非模擬器)
裝置所在位置不能在獨立國協 (CIS) 國家境內
手機上原本就已安裝它所要假冒的應用程式

將山寨網頁覆蓋在正常銀行應用程式上方，以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時，它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式，就會試圖連上幕後操縱 (C&C) 伺服器，然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著，C&C 伺服器會傳送一個網址給 BankBot，好讓它下載一組程式庫，內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方，這樣就能攔截使用者所輸入的帳號密碼。繼續閱讀