Android (安卓) - 資安趨勢部落格

你想知道誰在看你的社群媒體個人檔案嗎？InstaAgent 證明了社群媒體檢視詐騙仍然有效

2015 年 11 月 20 日2016 年 04 月 21 日趨勢科技 TrendMicro

你想知道誰在看你的社群媒體個人檔案嗎？

很多人都想，這也是為什麼許多社群媒體資料最後都會被駭。

最近的報導指出 Apple 和 Google 將一款熱門應用程式從應用程式商店下架，因為發現其實際上是惡意的。iOS上的「Who’s Viewed Your Profile – InstaAgent（誰在看你的個人檔案）」和Google Play上的「Who View Me – InstaAgent（誰在看我）」是號稱會秀出誰在看使用者Instagram帳號的追蹤應用程式，它們因為被發現會竊取個人憑證並送到遠端伺服器而被下架。

貧果

德國研發人員David Layer-Reiss將此發現放到Twitter上並說：「誰在看你的個人檔案 #Instaagent會將你的Instagram使用者名稱和密碼送至未知伺服器！」被取得的資料會被用來劫持帳號並試圖在未經使用者允許下上傳圖片。

該應用程式所宣稱的功能引起使用者的興趣，在其下架前帶來近百萬次的下載量，讓它能夠高踞英國免費應用程式排行榜四天。它也在美國、加拿大和德國登上熱門下載排行榜。Layer-Reiss進一步說，「我得說Who’s Viewed Your Profile – InstaAgent（誰在看你的個人檔案）是第一個在iOS App Store被下載超過五十萬次的惡意軟體」。而 Android版本的應用程式也有至少10萬次的下載 – 這數字很驚人，因為其只有低到2.2的評等。繼續閱讀

《小廣和小明的資安大小事》阿嬤好想要的神奇回春乳液

2015 年 11 月 18 日2015 年 11 月 11 日趨勢科技 TrendMicro

智慧型手機就一定安全！？

你是否如同漫畫中的阿嬤，認為智慧型手機很安全呢？

性質與電腦相近的智慧型手機，與電腦同樣可能碰到網路上的危險。其中必須注意的包括網路釣魚（Phishing）攻擊及誘騙付費攻擊、偽造的安全警告等，利用非法網站詐騙使用者的行為。目前已確認有針對使用智慧型手機瀏覽而刻意製作的非法網站。

網路釣魚攻擊

此手法乃利用假冒實際存在的企業所發出的電子郵件或社群網站的訊息，引誘使用者進入與真正的網站極為相似的非法網站，然後騙取使用者在網站上輸入的ID/密碼等個人資料。

【延伸閱讀】搜尋” LINE”,跳出假冒 LINE 網路釣魚詐騙網站,意圖盜帳號密碼！

誘騙付費攻擊

此手法會在使用者按下成人網站的圖片或電子郵件的網站連結之後，顯示「已完成入會註冊。請支付費用」等要求付款的畫面，藉此要求使用者付費。

繼續閱讀

百度 Moplus SDK 開後門,上億Android 用戶受影響!!

2015 年 11 月 06 日2015 年 11 月 10 日趨勢科技 TrendMicro

Moplus SDK 的後門行為以及相關的 Wormhole 漏洞

這是一項重大問題，甚至比 Stagefright 漏洞還要嚴重，因為後者還需經由網路釣魚連結將使用者帶到某個網站，或是透過使用者的電話號碼才能發送惡意簡訊。但此 SDK 卻讓駭客只需單純地掃瞄網路 IP 位址，而且不需使用者配合採取任何動作，也不需任何社交工程技巧。

一個名為 Wormhole (蟲洞)的漏洞，據報專門攻擊百度的 Moplus SDK 軟體開發套件，最近因其攻擊成功之後所帶來的嚴重後果而聲名大噪。此漏洞是由中國的漏洞通報開放平台 WooYun.og 所舉報。

然而，經過趨勢科技的仔細研究之後發現，Moplus SDK 本身就內含一些後門功能，所以前述攻擊不必然是因為漏洞所引起或與之相關。目前，普遍的看法是此問題源自於 Moplus SDK 的存取權限控管沒有做好適當管制。因此，這個看似漏洞的問題，其實是該 SDK 本身內含後門功能所造成，例如：推送網路釣魚網頁、隨意插入聯絡人資訊、傳送假冒的簡訊、將本地端檔案上傳至遠端伺服器，以及未經使用者允許就安裝任何應用程式到 Android 裝置上。而且只要裝置連上網際網路，這些功能就能順利執行。如今，Moplus SDK 已內含在許多 Android 應用程式當中，目前大約有 1 億名 Android 用戶受到影響。此外，我們也發現，已經有一個使用 Moplus SDK 的惡意程式在網路上流傳。

此篇部落格將探討 Moplus SDK 當中的惡意功能，以及這些功能將為 Android 裝置帶來什麼風險。

圖 1：一個利用 Moplus SDK 將自己偷偷安裝到裝置上的惡意程式。

挖掘 Moplus SDK 的祕密

Moplus SDK 是由中國搜尋引擎龍頭百度所開發。在此次調查當中，我們檢視了兩個不同的 App，一個是「百度地图」(百度地圖) (com.baidu.BaiduMap，8.7.0) 另一個是「奇闻异录」(奇聞異錄) ( com.ufo.dcb.lingyi，1.3)。雖然它們內含的 SDK 版本有所不同，但程式碼卻大同小異。

圖 2：「奇聞異錄」(com.ufo.dcb.lingyi) 當中的 Moplus SDK。 繼續閱讀

看片神器?! 以色情為號召的惡意程式威脅中國、台灣及日本 Android 使用者

2015 年 10 月 29 日2015 年 10 月 29 日趨勢科技 TrendMicro

「色情」永遠是個賣點，這一點對中國行動裝置威脅情勢來說真是再貼切不過。最近幾個星期，中國、日本和台灣的 Android 使用者不斷遭到以色情為號召的惡意程式攻擊。

這些惡意 App 程式都是經由假網站來散布，這些網站會利用一些熱門醜聞和外遇事件的關鍵字來毒化搜尋引擎。它們會假裝成色情影片網站，但全都會讓使用者裝置被植入各種不同的惡意 App 程式。這些以成人內容為誘餌的詐騙，讓我們想起多年前曾出現的單鍵付款詐騙 App。

趨勢科技發現了三個經由這類網站散布的惡意程式，它們都有相同的行為，也就是在使用者裝置上植入更多惡意 App 程式。這些程式會透過彈出式系統更新通知來推送至使用者裝置：

趨勢科技所偵測到的 AndroidOS_Souying.HRX 就是其中一個惡意程式，該程式內含漏洞攻擊程式碼，可攻擊多個核心驅動程式漏洞 (CVE-2012-6422、CVE-2013-2595 和 CVE-2014-2273) 來取得系統管理員權限。一旦取得權限，就能在系統上偷偷安裝其他惡意 App 程式。

不用多久，受害的裝置就會布滿各種惡意程式：

某些經由此方式植入的 App 會偽裝成色情影片，但其實是騙人的。

騙人的看片神器 繼續閱讀

Google Play 上的兩款遊戲可將 Android 裝置解鎖

2015 年 10 月 03 日2015 年 10 月 24 日趨勢科技 TrendMicro

Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話，那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起，而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris，我們已將問題通報給 Google Play 的資安團隊，目前正在等候回音。

RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計，它大約感染了 500 至 1,000 台 Android 裝置，絕大多數位於中國。

它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料，以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些)：

Appszoom：https://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
豌豆荚：https://www.{BLOCKED}jia.com/apps/com.antdao.tetris
应用宝：https://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
360Market：https://{BLOCKED}u.360.cn/detail/index/soft_id/2911263

這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件，視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。

Rootkit	CVE 漏洞編號
FramaRoot	CVE-2013-6282
TowelRoot	CVE-2014-3153
GiefRoot	CVE-2014-7911 和 CVE-2014-4322
PingPongRoot	CVE-2015-3636

表 1：RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞

經過進一步的分析，我們找到了一個與 RetroTetris 相關的網站 (shuame.com)，裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像，因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。

Brain Test
Brain Test 假冒成一個腦力測試的遊戲，包括讓您的「左腦」和「右腦」互相比較，您必須在一分鐘內解出問題。聽起來是不是很有挑戰性？這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱：com.mile.brain) 時的誘餌，隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架，但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱：com.zmhitlte.brain)，這次使用的是百度包裝程式。此程式又被 Google 逮到，並於六天之後，也就是 9 月 16 日將它下架。不過，作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成：com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置，就會再下載並安裝其他惡意應用程式，並且會將裝置解鎖 (root)，讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信，即使這個惡意程式已經從 Google Play 下架，但應該還是有些存在於受害者的裝置中。

Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外，我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站，以下列舉幾個範例：
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms

解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎，不論 Google Play 商店和非官方應用程式商店都一樣。此外，您也可以安裝一套行動裝置防護軟體，如趨勢科技行動安全防護 (TMMS) ，就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼：
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式：
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A

原文出處：Two Games Released in Google Play Can Root Android Devices作者： Wish Wu 和 Ecular Xu

《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮》

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

【推薦】PC-cillin 雲端版榮獲世界著名防毒評鑑機構高度評比

趨勢科技PC-cillin雲端版，榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦，採用全球獨家趨勢科技「主動式雲端截毒技術」，以領先業界平均 50 倍的速度防禦惡意威脅！即刻免費下載