行動威脅可以用不同的方式出現。趨勢科技已經討論過第三方應用程式商店上所出現的惡意軟體數量,甚至連官方應用程式商店也無法倖免。我們也提到過經由簡訊散播的惡意軟體。近發現了會利用另外一種途徑:垃圾郵件(SPAM)。
趨勢科技 發現了偽裝成WhatsApp通知的垃圾郵件。這郵件告知使用者收到新的語音留言。它加入了細節像是時間和長度,以取信收件者。
圖一、偽WhatsApp電子郵件
一旦你在電腦上點入「Play」按鈕,你就會被送到一個惡意網站。這網站會提醒你的瀏覽器已經過時而需要更新。如果你點了下載按鈕,就會下載惡意軟體到你的電腦裡。
圖二、在Windows系統的有惡意軟體的下載網站
不過,一般電腦似乎不是它真正的目標。在Windows電腦上,這網站會下載檔案browser_update_installer.jar,這是被偵測為J2ME_SMSSEND.AF的行動版本Java檔案。並不是特別為一般電腦所設計的檔案。
一篇bitcoin.org上的文章警告使用Android錢包的比特幣(Bitcoin)擁有者一個嚴重的底層漏洞,可能會讓他們的錢包對小偷大開方便之門。
這篇文章表示「一個Android的底層元件」包含著讓Android比特幣錢包擁有者有被順手牽羊風險的漏洞。而比特幣(Bitcoin)錢包應用程式開發者Mike Hearn發文到比特幣開發者郵件群組表示,確切元件是Android所使用的Java class SecureRandom。
這樣的影響可能要比比特幣(Bitcoin)錢包來得更深遠的多。如果Mike的說法正確,那「所有」Android平台上所生成的私密金鑰在加密方面都很薄弱,需要加以「更新」,也就是用禮貌的方式來說需要「刪除並重新建立」。對於那些比特幣錢包使用者來說,這也表示會產生一個新地址,並將所有的錢送回給自己。
目前還沒有證據顯示這漏洞真的已經遭受攻擊,已經有好幾個比特幣使用者回報遭到竊取,可能跟這漏洞有關。因此,對於那些在行動設備上使用比特幣錢包的使用者,讓我們希望解決亂數產生問題的更新應用程式可以及時推出。關於受影響應用程式的詳情可以在bitcoin.org的部落格文章內看到。
至於這Android底層問題如何影響其他依賴加密的應用程式,和如何將根本解決修補程式推送到這令人頭痛的碎片化生態系也是非常值得關切。隨著越來越多應用程式和金錢有關,以及我們在行動設備上不斷增加的個人資料,這類性質的漏洞很引人注目,也非常吸引現今的網路犯罪份子。
@原文出處:Android – Bitcoin vulnerability – Exploit in the wild.
短短半年間Android增加了350,000個惡意應用程式,這是之前花了三年才達到的數字。
網路銀行威脅數量增加了近三分之一。
行動平台、設備和應用程式上的威脅在過去這幾年有著大幅成長,但在這一季,它們開始全速地前進。網路犯罪分子已經發現更加複雜的方式來繞過行動安全,而且不再只是利用惡意應用程式而已。
在去年年底,趨勢科技發表了我們對二〇一三年的預測,其中最令人注目的是斷言了行動惡意軟體會在今年底突破一百萬大關。在當時,它可能被認為這預測只是個行銷噱頭,但是事實和數據都不幸的指出此一預測即將成真。在第一季結束時,我們已經來到了一半的數字,而到了六月底,我們已經收集到了718,000個惡意和高風險的Android應用程式。
如果你看一看這些數字,可以很容易地發現Android惡意軟體數量不僅只是在增加,而且還在不斷地加速。在僅僅六個月內,Android惡意軟體的數量增加了350,000個,這是之前花了三年才達到的數字。
Android更新遲緩,使用者面臨嚴重漏洞
到現在為止,大多數應用程式都還是以打包成木馬程式的方式出現,主要針對在加值服務濫用上,好讓犯罪份子獲取利益,也還是透過應用程式商店的方式來散播。但是透過漏洞攻擊包來派送惡意軟體到行動平台的進化已經出現了,我們看到了被稱為「master-key」的漏洞,意味著已安裝的合法應用程式可能會被攻擊者偷偷的更換,OBAD惡意軟體也利用一個漏洞來取得Android設備上root和admin的權限,讓問題變得更加嚴重。只花了幾個禮拜的時間,就讓「master-key」這漏洞從概念證明變成現實。
Android的「Master Key」漏洞證明網路犯罪份子可以利用它來將原有的應用程式更新成惡意的應用程式。而另一方面,多組件惡意程式 – OBAD會攻擊管理漏洞,進行複雜的隱形和散播行為。
有鑑於Android緩慢的更新流程,想修補這些嚴重漏洞已經成為了頭痛的事情。 Android的碎片化問題讓安全修補程式在到達使用者前需要先經過緩慢的製造商開發流程。
雪上加霜的是,Android上的惡意應用程式和高風險應用程式雙雙地持續打破紀錄,本季來到了718,000這數字。此作業系統的使用者可以預見到網路犯罪分子還會繼續破紀錄下去。在短短半年間增加了350,000個惡意應用程式,這是之前花了三年才達到的數字。
比較Android和Windows惡意軟體的時間軸
本季的手機資安事件肯定會造成長久的安全問題。行動體驗伴隨著大量人的因素參與讓它變得更糟,形成了許多災難性的不安全習慣。
網路銀行惡意軟體,更多全新威脅
跟上季相比,本季的網路銀行威脅數量增加了近三分之一。這些威脅的受害者大部分來自美國、巴西、澳洲和法國。
許多業界內知名的大威脅都以新的劇本和伎倆重新推出。看看那些地下市場,專家們看到惡意軟體工具包隨著時間而降價。有些像是SpyEye甚至會在買購買其他知名工具包時免費附送。黑洞漏洞攻擊包(BHEK)採用了新的FAREIT惡意軟體變種,它會竊取檔案傳輸協議(FTP)憑證和任何目標電腦上的個人資料。像是Safe的針對性攻擊活動也在持續地攻擊企業端伺服器應用程式,像是Plesk、Ruby on Rails和ColdFusion等有可被攻擊的漏洞。社交工程威脅現在將目標放在像Digsby的多帳號存取服務,並利用許多部落格平台做成假的串流網頁。 繼續閱讀
雖然大部分行動威脅都是以惡意或高風險應用程式的形態出現,行動設備還是會被其他威脅所擾。比方說三星Galaxy設備上所出現的臭蟲和OBAD惡意軟體可以利用漏洞來提升權限。不幸的是,這些並不是行動用戶所需要警惕的唯一漏洞。
就在最近的美國BlackHat大會上,有三個漏洞被討論著:Android的「master key」漏洞,SIM卡和iPhone充電器的漏洞。
「master key」漏洞最初被報導會影響99%的Android行動設備。這和Android應用程式如何被簽章有關,可能會讓攻擊者不用開發者的簽章金鑰就可以更新已安裝的應用程式。利用這漏洞,攻擊者可以將正常應用程式更換成惡意軟體。當我們的研究人員發現一起攻擊利用這漏洞的去更新並木馬化銀行應用程式。我們親眼看到這個影響會有多大
另一方面,第二個行動設備弱點是多數SIM卡所用的舊加密系統。想利用這漏洞,攻擊者只需發送會故意產生錯誤的簡訊。結果就是SIM卡會回應包含56位元安全金鑰的錯誤代碼。這金鑰可以讓攻擊者用來發送簡訊給設備,以觸發下載惡意Java程式,可以用來執行一些惡意行為,像是發送簡訊,監控手機位置。
跟「master key」漏洞不同的是,SIM卡漏洞可能會影響更多的使用者,因為它並不限定作業系統。此外,由於所述威脅是因為使用舊的解密方式,更新SIM卡以使用較新解密功能對電信業者來說可能會被認為不切實際而昂貴。 繼續閱讀
本月稍早,我們在部落格上說明了 Android 的 Master Key (金鑰) 漏洞,此漏洞可讓網路犯罪者將使用者裝置上所安裝的正常 App 程式「更新」為暗藏其惡意程式碼的版本。自從該漏洞出現以來,趨勢科技即一直密切觀察是否有任何利用此漏洞的威脅,現在我們發現了一個這樣的程式,其目標是南韓 NH Bank 網路銀行的 App 程式。
NH Nonghyup Bank (農協銀行) 是南韓最大的金融機構之一,其網路銀行 App 程式在行動裝置用戶之間使用頗為廣泛,目前安裝次數已達 500 萬至 1,000 萬之間。
歹徒看上該程式的熱門程度,在第三方 App 程式下載網站上提供了一份更新程式供人下載。當然,這份更新是惡意程式。此程式利用了 Android 的 Master Key 漏洞,在 App 程式內插入了一個惡意檔案,將它「木馬化」。
案藏惡意程式碼的「classes.dex」檔案比正常的版本小,只有 205 KB。
網路犯罪者也製作了一個該銀行 App 程式的木馬化版本,目的是要在使用者裝置尚未安裝該程式時派上用場。惡意的 App 程式在執行時會顯示一個假冒的頁面,要求使用者輸入帳號資訊。
木馬化的銀行 App 程式執行時會顯示的頁面。
一旦使用者輸入資料並確認,資料就會傳送至歹徒操控的遠端惡意伺服器。 繼續閱讀