分類: Android (安卓)

一鍵就會讓歹徒篡改Android App程式!

趨勢科技 TrendMicro

趨勢科技發現Apache Cordova 應用程式架構的一個漏洞,可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App,不僅使用App時被干擾如完全當掉無法使用,數以千計的Apache Cordova第三方外掛程式也同樣有危險!趨勢科技呼籲Android應用程式開發人員,應立即將自己的Cordova開發套件升級至最新版本,並重新製作一份新版App,以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。

Android 病毒

 

趨勢科技資深技術顧問簡勝財表示:「此問題已被趨勢科技列為高嚴重性問題,Apache Cordova 4.0.1 以前的所有版本都在影響之列,日前Apache也已經發布一份安全公告證實了這項漏洞。根據我們的研究顯示,若程式的Base Activity設定沒有受到適當的保護,而且偏好設定又使用預設值的話,那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式,被修改這些偏好設定,進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式,都可能因為這個漏洞而遭到攻擊。」

簡勝財指出,使用 Cordova 開發的 App 程式和使用者可能受到下列影響:

  1. 程式外觀遭到篡改
  2. 遭人篡改彈出視窗和文字內容
  3. 遭人篡改程式開啟畫面
  4. 基本功能被篡改
  5. 程式當掉

繼續閱讀

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

趨勢科技 TrendMicro

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

 

圖1、有MDash SDK的應用程式範例

 

圖2、MDash SDK原始碼結構

繼續閱讀

假 Android漏洞「掃描程式」暗藏玄機

趨勢科技 TrendMicro

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

繼續閱讀

假關機真監控, Android手機木馬”暗”地裡執行惡意動作

趨勢科技 TrendMicro

你以為你的 Android 手機真的已經關機了嗎?別相信眼見為憑這件事。

一個被稱為PowerOffHijackAndroid,來自中國應用程式商店的木馬程式,可以成功地誘騙使用者相信自己的設備在關機狀態。除非你一手拿著Android手機,一手拿著它的電池,不然你可能無法確定它是否真的關機。

偽裝關機的Android木馬可以追溯到2014年的假Google服務應用程式

Android關機動畫讓你相信設備正在關機。在這時候,惡意軟體仍然可以撥打電話、傳送簡訊、拍照和做其他惡意行為,而且不用經過使用者同意。

這些惡意軟體都在Google Play之外的第三方應用程式商店中發現,需要被 root過的設備才能執行。


 Android- Fakes Shutdown-Dr

 

深入此一問題後,趨勢科技研究者發現了據信為早期版本的 PowerOffHijack 應用程式,似乎早在2014年9月就出現。應用程式名稱為AndroidFramework(偵測為AndroidOS_AndFraspy.HAT),將自己偽裝成Google服務,使用套件名稱com.google.progress。

假關機行為

行動裝置使用者都知道,按下電源按鈕有兩種做法。按一下按鈕會關閉螢幕,長按會跳出提示,包括了關機選項。

AndroidFramework 被設計成在背景執行其惡意動作,當你按下電源按鈕並且讓螢幕變黑之後。 繼續閱讀

中國免費App,充斥山寨行騙,附贈間諜軟體,廣告軟體及付費簡訊

趨勢科技 TrendMicro

「不小心」點到傳送簡訊付費的按鈕;付款通知被攔截;關閉廣告反而導致更多廣告;下載達 52 萬次的山寨「紀念碑谷」,竟會隨機發送詐騙訊息;iPhone  特賣,訂單送出同步收集個資給攻擊者…..這一切都是山寨免費軟體的陰謀!!

fake app -Free Apps In Chinese App Stores Put Users At Risk

中國應用程式商店內的免費軟體讓使用者陷入危險

趨勢科技最近看到了大量重新封裝的Android應用程式出現在中國應用程式商店上。這些應用程式會偽裝成「免費」軟體,但最終它們會浪費掉使用者的時間和金錢:它們會帶來各種廣告或是訂閱加值服務。(注意,這些應用程式在官方Google Play上都找不到)

這裏有兩種管道在運作。第一,國外的應用程式經由中國公司中文化或重新封裝,並用在各種計劃上。第二,盜版付費/加值應用程式重新封裝成「免費版」,加入了廣告軟體或其他的程式碼。不管是哪一種狀況,重新封裝的程式都帶來可能是惡意的風險。

在第一種狀況,中國公司和原先的開發商簽訂合約去為中國市場中文化應用程式。這包括了翻譯和更改成中國市場所使用的付款方式。但是不道德的公司可能會在此時加入自己的程式碼,加入廣告或透過簡訊號碼來從使用者那獲取金錢。 繼續閱讀