Android (安卓) - 資安趨勢部落格

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

2012 年 03 月 01 日2013 年 10 月 07 日趨勢科技 TrendMicro

Android Market 上的詐騙越來越多。上星期，趨勢科技談到有一家開發廠商利用常見的應用程式名稱誘騙使用者下載了假冒的程式。在那之前，趨勢科技也在 Android Market 上發現過一個假冒的 Temple Run 應用程式。這一次，我們又發現了 37 個出現類似行為的應用程式。這些是所謂的「粉絲應用程式」(Fan App)，也就是說，這些並非由原廠商所開發。

光是瀏覽這些粉絲應用程式的網頁，趨勢科技就發現了一些奇怪的現象。其開發廠商的網站連結指向的是一些無效的網址，例如某個 .com 網站，一個拼錯字的 Google 網域 (拼成了 googel.com)。

另一項引起趨勢科技注意的是，所有上述應用程式的畫面抓圖都相同。這些應用程式一旦安裝，就會強迫使用者將它分享到 Facebook (如果有安裝) 並且在 Android Market 上給予評分。此外，它還會不斷透過通知訊息來顯示廣告，並且在受感染裝置的首頁上建立捷徑。

不過，更嚴重的問題是，這些應用程式會將一些敏感資訊傳送到某個遠端伺服器。傳送的資訊內容包括：作業系統版本、國際行動設備識別碼 (International Mobile Equipment Identity，簡稱 IMEI) 以及電話號碼等等。這些應用程式一旦執行，上述資訊就會立即傳送到遠端伺服器。

程式提供了一個關閉廣告的選項。但使用者很可能會錯過或忽略，因為這個選項藏在網站上的應用程式說明頁面。

千萬別忽略謝絕打擾的選項

趨勢科技在幾天主動將這些應用程式向 Google 通報。他們的反應很快，立即將這些程式從 Android Market 下架。

然而，從 Android Market 下架並無法完全消除這些應用程式的威脅。網路犯罪者依然會將他們上傳至其他網站，例如第三方應用程式商店、論壇等等。不過，不論網路犯罪者將它們上傳到哪裡，趨勢科技都能偵測出這個 ANDROIDOS_FAKEAPP.SM假冒程式。

很顯然地，在應用程式當中插入頻繁廣告的手法，尤其是與透過搜尋引擎賺錢的相關手段，短期之內應該不會消失。因此，使用者在安裝應用程式時最好提高警覺。如要閱讀更多有關這方面的內容，請參閱我們先前的部落格文章：手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技已經能夠防範這項威脅。不過，使用者教育對於防止行動裝置遭到類似攻擊依然非常重要。如需更多關於行動裝置威脅以及如何保護行動裝置安全的資訊，請至我們的行動裝置威脅資訊站 (Mobile Threat Information Hub)。

@原文來源:“Fan Apps” Now Spreading on the Android Market作者：Kervin Alintanahin (威脅分析師)

@延伸閱讀:
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式
 惡意Android應用程式:看成人影片不付費,威脅公布個資
 安裝手機應用程式前要注意的三件事
 2011年回顧：手機病毒
 深入探討中國的Android第三方軟體商店
 中國第三方應用商店提供下載的手機間諜軟體
 專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
 日本色情業者利用行動條碼（QR Code）誘騙付費 Android智慧型手機的惡意程式，半年內增加14.1倍
 Android木馬應用程式 :木馬幫你手機申購加值服務
 保護你的Android智慧型手機5步驟
 Android app 惡意程式：愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
 手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

手機防毒不可不知 (蘋果動新聞有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

◎ 歡迎加入趨勢科技社群網站

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

2012 年 02 月 16 日2012 年 02 月 08 日趨勢科技 TrendMicro

將搜尋貨幣化是行動平台上的新威脅

這一份報告，提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk，它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P。

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼，所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑，取得/設定書籤，將手機資料送回它的伺服器（包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系），設定通知，還有設定瀏覽器首頁。

趨勢科技認為可以將這應用程式歸類為廣告軟體，因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體（Mobile App Adware）」。一開始它還提供軟體開發套件（SDK），讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的：安裝搜尋捷徑，透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之，它原本是個用來賺錢的廣告服務，讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

「行動應用程式廣告軟體」

從這點來看，它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡，好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡，這和在桌上平台所做的事情是幾乎一模一樣的。

趨勢科技威脅回應工程師Erika Mendoza補充說：「想到廣告網路，我覺得現在很多應用程式都含有類似的程式碼，這種手機廣告軟體算是有侵略性，但是要認定這類惱人行為是否為惡意，仍然取決於使用者。」

Lookout Mobile Security的研究人員則不認為這種行為是種惡意軟體攻擊，它比較算是「侵略性的廣告網路。」我們同意他們所說的，這本身並不是惡意軟體。但是，這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚，而很久以後才出現影響的。

對於安裝應用程式來說，保留安裝時所取得的權限，還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留，好作為重裝時的預設值。在現實裡，有太多應用程式被下載，有各種不同的下載目的，有著各種不同的使用者設定，所以要追查的話實在有太多變數了。

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式繼續閱讀

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

2012 年 02 月 15 日2012 年 02 月 11 日趨勢科技 TrendMicro

趨勢科技最近發現了一個伺服器上代管了大量提供行動惡意軟體的網站，目標針對Android和Symbian作業系統（特別是J2ME平台）。

這個位在德國的伺服器由一個代管服務供應商所管理，它也是眾所皆知的網路犯罪分子常用服務商。

趨勢科技總共在這伺服器上發現了1351個網站，而且根據他們散布惡意軟體的手法可以將這些網站分成五大類：

Android Market應用程式

Opera Mini/Phone最佳化應用程式
色情應用程式（這些網站在檢查時無法使用）
應用程式儲存網站
其他（這些網站在檢查時無法使用）

那些無法使用的網站可能是因為攻擊者還在建置中或是已經停掉了。那些應用程式儲存網站是用來提供其他類網站裡應用程式的功能，所以無法存取。但是那些應用程式還是在的，可以透過Android Market應用程式跟Opera Mini/Phone最佳化應用程式這兩類網站來下載。

Android Market應用程式的網站看起來就像是個正常的合法網站。會出現流行的應用程式像是：WhatsApp、Facebook、Facebook Messenger，條碼掃描器、Skype、Google地圖、Gmail、YouTube和一些其他的軟體。從這些網站所下載的檔案目前已經被偵測為ANDROIDOS_FAKENOTIFY.A。繼續閱讀

安裝手機應用程式前要注意的三件事

2012 年 02 月 01 日2012 年 02 月 08 日趨勢科技 TrendMicro

說到手機應用程式使用者體驗的好壞，跟所需要輸入的個人資料數量有直接的關係。而現在，我們處在一個「後隱私時代」，人們需要知道他們將個人資料輸入手機應用程式的好處與壞處。

開發人員不斷努力地改善手機應用程式，使得這些應用程式已經佔據了我們生活很大的一部分。讓事情變得更加簡單方便，帶來更多樂趣：應用程式可以幫我們組織我們的工作，讓我們一眼就可以了解所有的最新資訊，也讓我們可以從切水果或殺綠色小豬中得到許多樂趣。

趨勢科技研究人員Robert McArdle還解釋，手機應用程式提供了使用者更好的使用者經驗。他指出：「另外一個讓手機應用程式如此流行的重要原因是易用性。在手機上瀏覽網頁和在筆記型電腦上的感覺是不一樣的。大多數情況下，手機應用程式會為特定網站來特製瀏覽介面。」

輸入手機應用程式的使用者資料數量已經變成眾所皆知的隱私問題，這也是最近因為關於手機應用程式Carrier IQ的真正問題而被熱烈討論的話題。正如我們之前提過的，Carrier IQ最大的問題是沒有取得同意。對於手機應用程式來說，這是非常重要的，當使用者安裝應用程式之前，必須先確認到底這應用程式會取得哪些資訊。所以對於手機應用程式來說，到底要不要志願提供資料去換取服務的選擇權應該還是在使用者手上。

為了幫助使用者做決定，趨勢科技列出三件事實是使用者在安裝手機應用程式和提供個人資料前可以先好好想一想的：

1.如果給了手機應用程式越多資訊，出事的後果也會越嚴重

手機應用程式已經客製化了，這些程式的設計就是依據使用者輸入的資訊來運作。有些跟所在地有關的應用程式，像是Shopkick和Foursquare就是很好的例子。這樣的手機應用程式已經成為了2011年的科技發展趨勢，並預計會在2012年繼續延續這熱潮。

像這樣的應用程式，唯一合邏輯的是在使用者登入時來要求資訊。而且當然所要求的資訊也是有限度的，僅限於讓應用程式可以正常運作所必要的部份。Android的「權限」設定也是相同的概念，也是使用者需要好好運用的地方。

也有些情形是，這些資訊並不是應用程式運作所必須的東西，但卻能提供吸引使用者的功能。比方說有些手機應用程式會要求使用者連結他們的社群網路帳號，可以將應用程式的動態資訊分享給他們的朋友。在這時候，使用者要記住，如果他們給了應用程式越多資訊，出事的後果也會越嚴重。這也帶入了我們的第二件事實：

2.手機應用程式的開發者可能會將部分服務外包，因此可能會有其他第三方公司能存取這些資訊
使用者資訊在今天的威脅環境裡是一種商品，這也讓你在任何地方分享訊息都會有風險，不僅僅是在手機應用程式上。這些風險大多來自於未經授權去存取使用者的個人資訊。因為如此，對使用者來說，重要的是弄清楚從這應用程式所得到的服務是否值得這風險。

另外一件使用者必須了解的是，這些應用程式的開發公司可能會將部分服務外包，因此可能會有其他第三方公司能存取這些資訊。這是從Epsilon事件中所能體認的事實，還有從最近的Carrier IQ事件。

3.開發者的信譽很重要 ,如果你對於提供敏感資料有任何疑慮的話，就不要做

對使用者來說，誰能處理他們的個人資料將是主要關心的問題。舉例來說，Android是一個非常開放的平台，允許許多開發人員將他們的作品上傳到Android Market上，因此使用者需要小心的去選擇誰值得信賴去交付自己的資訊。

我們認為使用者需要體認到最重要的事情是，他們是為自己的個人資料跟設備負起最終責任的人。手機應用程式的確帶來很大的方便，但同時也存在一定的風險。有些風險是使用者沒有充分了解，或是選擇去忽略的。Android的「權限」模式就是要讓使用者知道應用程式會存取的資訊，但這些常常都會被忽視。

在今後，Robert提醒使用者在輸入資料給任何應用程式前都要先認真考慮。「重點是，在提供任何資料給應用程式之前先想一想。遊戲軟體是否真的需要你的社群網路登錄資料，只為了讓它去聯絡你的朋友？你會因為開發者要求，就一樣的將帳號資料用電子郵件傳給他們嗎？如果你對於提供敏感資料有任何疑慮的話，就不要做」。

使用者不需要放棄由應用程式提供的服務，只因為他們需要提供使用者的個人資料。但他們應該要了解有關的風險，並準備好保護他們的資料。想知道更多相關的資訊，請參考我們的行動威脅資訊站。