假壞蛋豬/搗蛋豬(Bad Piggies)遊戲,一下載即亂發簡訊,受駭者買單
趨勢科技發現某個網站提供不同平台的壞蛋豬(Bad Piggies)供下載,不過不是真正的版本,使用者下載的是一個病毒:ANDROIDOS_FAKEINST.A惡意APK檔案。一旦安裝完畢,它會在手機等設備首頁上建立一個捷徑,並且發送簡訊到特定號碼。這些簡訊是在未經使用者同意下發送的,可能會讓
在未經使用者同意下發送簡訊,造成不必要的費用。
仔細剖析惡意版本壞蛋豬/搗蛋豬
趨勢科技發現有個piggies-{BLOCKED}d.ru的網址疑似該應用程式下載頁面。
ANDROIDOS_CONTACTS.E 惡意程式資料竊取行為分析
有一款假太陽能充電應用程式,用假正面評價騙取下載,卻附贈偷資料病毒:ANDROIDOS_CONTACTS.E 惡意程式。本文將深入探討該程式的運作方式以及歹徒如何從中獲利。
此次分析我們將選定「Solar Change」(太陽能充電) 這個 App 程式來做說明。我們發現這個 Android App 程式 (也就是我們偵測到的 ANDROIDOS_CONTACTS.E) 會從受感染的裝置蒐集一些聯絡資訊,如:電子郵件地址。駭客取得這些聯絡資訊之後,就能將這些資訊賣給一些專門從事犯罪攻擊或散發垃圾郵件的集團。
當使用者安裝這個 App 程式時,裝置會顯示該程式所要求開放的權限。若您仔細查看這些權限就會發現,該程式也要求取得裝置上儲存的詳細聯絡人資料及帳號清單。
|
權限 |
功能 |
|
android.permission.READ_CONTACTS |
允許 App 程式讀取使用者的聯絡人資料 |
|
android.permission.BATTERY_STATS |
允許 App 程式蒐集電池相關統計數據 |
|
android.permission.INTERNET |
允許 App 程式建立網際網路連線 |
|
android.permission.READ_PHONE_STATE |
開放手機狀態的唯讀權限 |
|
android.permission.GET_ACCOUNTS |
允許存取「帳戶服務」當中的帳戶清單 |
不幸的事,這些權限一旦開放,就會讓 App 程式取得某些詳細資料,並且傳送給專門散發垃圾郵件的集團。
「Solar Charge」這個應用程式不僅會要求開放聯絡資料與帳戶服務的存取權限之外,此應用程式本身根本就沒有作用。它只會一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。在假裝充電時,還會出現另一個訊息說您的裝置不適用該程式。
就在假裝充電的過程當中,此 App 程式其實正試圖竊取使用者裝置上的詳細聯絡資訊和 Gmail 帳戶清單,然後傳送至遠端的某個伺服器。
對於自己的行動資料防護和隱私敏感的德國人,在一份關於德國Android使用者所愛用的前廿五名免費應用程式的研究報告中,只有Facebook和Adobe Flash Player 11要求的行動數據較少,消耗的資源也較少(像是電池續航力和記憶體)。
除了遊戲應用程式外,值得注意的是類似Skype和Google+等應用程式會消耗最多的電池續航力,即使只是將它們開啟而閒置的。
你知道你的手機軟體洩漏哪些資料嗎?
一份關於德國Android使用者所愛用的前廿五名免費應用程式的研究報告。我研究後發現,這些應用程式裡有60%可能會讓使用者的資料陷入危險中。
我的研究集中在德國的熱門應用程式,因為我知道德國人對於自己的行動資料防護和隱私有多麼敏感。特別是德國消費者組織聯盟,會監控在國內可能的隱私權問題。該聯盟已經對多家可能違反德國隱私法和消費者權益的公司採取行動。
我很好奇哪些在文中所引用的熱門應用程式會要求哪些資料,也期待可以用–趨勢科技行動安全防護for Android來檢查這些應用程式。
檢查後,我發現在前五名中,只有Facebook和Adobe Flash Player 11要求的行動數據較少,消耗的資源也較少(像是電池續航力和記憶體)。進一步檢查後,發現可能被外洩的資訊包括地理位置(34%)、國際行動設備識別碼(IMEI)(27%)和資料庫(如通訊錄)(21%)。而會使用較多資料的應用程式,包括熱門手機遊戲 – 憤怒鳥。經典版憤怒鳥和憤怒鳥里約會存取包括IMEI、國際行動用戶識別碼(IMSI)、地理位置、傳入數據和資料庫等資料。
除了遊戲應用程式外,值得注意的是類似Skype和Google+等應用程式會消耗最多的電池續航力,即使只是將它們開啟而閒置的。
行動應用程式會外洩資訊這件事對不同使用者來說,也會有不同的認定。有些人會認為存取IMEI和其他資料就已經構成資料外洩了。但也有些人可能會認為沒有關係,只當成是安裝行動應用程式步驟的一部分。
但是不想要的行動資料外洩就是我們已經非常熟悉的真正威脅了。我們之前已經看過了好幾個實例,木馬化版本的熱門應用程式會在使用者不知情下發送記錄和其他行動數據到後端去。而這些被竊取的資料也可能被用在其他網路犯罪計劃裡。
趨勢科技行動應用程式信譽評比技術
我可以利用趨勢科技行動應用程式信譽評比來產生這些資料,它是在最近發表在Google Play上的趨勢科技行動安全防護的功能。這新的雲端服務會接收並分析APK套件的多項可能對設備產生效能和資料安全負面影響的功能。比方說:危險的使用API呼叫、洩漏特定資料、消耗電力、不該有的權限和開發者資訊。它還會檢查並建立行動應用程式和其開發者的信譽評比。
根據經驗法則,應用程式所要求的權限和可存取的設備資料都要限制到最小。要更加了解行動應用程式以及它們所要求的是怎樣的權限。如果應用程式要求了超出其功能的權限,在安裝之前得先三思。
@原文出處:Do You Know What Data Your Mobile App Discloses?
@延伸閱讀:
Android裝置上的七種惡意軟體類型與排行
Android上的間諜軟體測試版會竊取簡訊
哪一種行動作業系統最合適企業?
[圖文解說]旅行中誰吸乾了你的智慧型手機電力?
安裝手機應用程式前要注意的三件事
惡意Android應用程式:看成人影片不付費,威脅公布個資
中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭
《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
<看更多手機病毒/行動威脅>
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU
趨勢科技在 Google Play 和某些第三方 App 應用程式商店發現四個 Android App 程式在安裝之後會不經使用者同意即存取某些裝置資訊,並且可能導致資料外洩。其中一個 App 程式目前已經從 Google Play 下架,但還是可以在第三方應用程式商店上找到。這些 App 程式是針對即將來臨的 2012 年美國總統大選與二位候選人:Mitt Romney 和 Barack Obama 而設計。使用者可免費下載這些應用程式。
第一個應用程式叫作:「Obama vs Romney」,這是一個 ANDROIDOS_AIRPUSH 變種,會連線至 airpush.com 這個行動裝置廣告網路網站。此 App 程式的說明頁面指出該程式可能會顯示一些廣告通知。趨勢科技發現,目前此 App 程式已在第三方商店上累積了 300 多次下載,並且 Google Play 上的下載次數估計也在 500-1000 之間。
此 App 程式原本的設計是用來做民意調查,讓使用者從二位候選人當中做出選擇。理論上它應該會立即顯示整體的民調結果。但是,根據趨勢科技的測試,它最終只會顯示一個訊息「you probably want to start clicking as soon as possible」(或許您應該盡快開始點按)。此外,這個 App 程式還會顯示一些來自 airpush.com 的惱人廣告,而且是出現在該 App 程式之外的地方。
該程式也會要求 ACCESS_COARSE_LOCATION (存取粗略定位) 權限,因此會讀取裝置所在 GPS 定位以及其他的資訊。
第二個 App 程式叫作「Captain America Barack Obama 1.0」(也就是趨勢科技偵測到的 ANDROIDOS_ADWLEADBOLT 變種),它會在裝置上安裝一個 Barack Obama 3D 桌布與美國國旗。此程式已經從 Google Play 下架,但仍可在第三方應用程式商店上找到。該程式與「Obama vs. Romney」程式類似,會取得 ACCESS_COARSE_LOCATION (存取粗略定位) 及其他權限,因此能讀取裝置的 GPS 定位、CellID 與 Wi-fi 定位等資訊。安裝時,它會在裝置首頁畫面上建立一個捷徑。截至目前為止,此 App 程式已經在第三方商店上累積了 720 次下載。
最後二個 App 程式是「Barack Obama Campaign LWP 1」和「Mitt Romney Live Wallpaper 1」(二者都是我們所偵測到的 ANDROIDOS_ADWLEADBOLT 變種)。兩者都會要求 ACCESS_FINE_LOCATION (存取精細定位) 和 ACCESS_COARSE_LOCATION (存取粗略定位) 權限。
如同前面提到的 App 程式,這二個都會在裝置上顯示廣告。使用者可以點選某個 URL 來關閉這些廣告,但卻會因此洩漏裝置的國際行動裝置識別碼 (International Mobile Equipment Identity,簡稱 IMEI 碼) 與裝置類型資訊到前述網站。不過,使用者有可能不會注意到這個連結,因此仍會持續收到廣告。
趨勢科技在八月的後幾週對幾個常見的Android應用程式商店的監測顯示,被偵測為ANDROIDOS_PLANKTON變種的應用程式數量在迅速地增加著。
ANDROIDOS_PLANKTON最初是由北卡羅萊納大學在兩個月前所發現的,因為它可以讓遠端使用者下載惡意檔案並執行指令而被注意著。這個發現也被稱為是「最大規模的Android惡意軟體爆發」,因為有數百萬應用程式含有類似PLANKTON的可疑程式碼。在我們的研究中,這類惡意程式的數量在8月19日至25日之間在Google Play上有所成長。
另一個從我們的監測中所看到值得注意的趨勢是,偽裝成正常應用程式的廣告軟體數量增加。廣告軟體會顯示多個廣告到被感染的設備上,好讓它的開發者獲取利潤。在這些網站上可以看到最多的廣告軟體是ANDROIDOS_ADWIZP,ANDROIDOS_AIRPUSH,ANDROIDOS_ADSWO,ANDROIDOS_LEADBOLT。
趨勢科技的客戶目前都已經受到保護, 趨勢科技行動安全防護for Android中文版會偵測這些惡意應用程式。可以防止這些惡意應用程式被安裝在行動設備上。
惡意軟體偽裝成Android應用程式在短時間內並不會消失。在這時候,使用者下載應用程式前要保持小心謹慎。注意應用程式和開發者的信譽評價對於保護行動裝置是有所幫助的。
想了解更多關於如何保護行動設備的資訊,可以參考底下的數位生活電子指南:
@原文出處:More Adware and PLANKTON Variants Seen in App Stores
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
@延伸閱讀:
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU