惡意Android應用程式:看成人影片不付費,威脅公布個資

趨勢科技之前報導過針對智慧型手機使用者的誘騙付費攻擊(one-click billing fraud)。這種攻擊,顧名思義地就是會將使用者導向特定網站之後,誘騙他們去註冊並支付特定的服務。之前我們所看過的攻擊,會有一個網站要求目標使用者支付一定的金額,以避免自己的資料被送到一個成人網站。

趨勢科技最近發現一個類似的騙局,但這次它是經由一個惡意應用程式來專門針對Android的使用者。

這次的攻擊是從一個提供電玩影片的部落格網站開始。這個部落格稱為「Game Dunga」,在過去已經變更過網域三次了。在之前的版本,它放了許多電玩影片的連結(不只是成人內容)。但是現在的版本(第三代)只有成人內容的連結。

 

繼續閱讀

2011年回顧:手機病毒

2011年對Android作業系統來說是值得紀念的一年,對Android惡意軟體來說也是。Android使用者的大量增加讓它顯得更有利可圖,也讓攻擊者更想發揮全力在這平台上,就如同我們這一年來所說的一樣。

威脅來自哪裡?

許多這類威脅都是經由第三方軟體商店,尤其是在中國(那裡要訪問Android
Market
,有時會出現問題)。軟體商店本身並不一定是惡意的,他們根本就沒有資源來充分驗證上架的軟體。也因此,惡意、重新包裝過和盜版的應用程式常常會出現在這些獨立的軟體商店。

我們看到哪些威脅?

趨勢科技在行動領域看到了哪些威脅?有一些之前在舊的作業系統上也出現過,像是加值服務濫用軟體會將使用者加入到他們並不想參加的付費服務。事實上,這些惡意軟體並不只是出現在第三方軟體商店,也出現在Android Market上(像是RuFraudDroidDreamDroidDreamLight等例子)。

加值服務濫用軟體是2011年最大的威脅,這些惡意軟體並不只是出現在第三方軟體商店,也出現在Android Market上(像是RuFraudDroidDreamDroidDreamLight等例子)。

這類型的威脅會流行是因為它提供了網路犯罪分子一個獲利的直接途徑。但趨勢科技也看到其他更複雜的威脅出現。有些威脅是在一般電腦上很常見到的。隨著手機病毒/行動威脅變得更加複雜,會看到已知的攻擊模式出現也就不令人驚訝了。  繼續閱讀

關於手機應用程式Carrier IQ的真正問題

最近網路上一直在討論Carrier IQ(一個被預載在手機裡用去監控網路和手機性能的應用程式)和跟它有關的個人隱私問題。

在關於Carrier IQ的報導裡提出了許多問題,關於它所收集的資料,它不經由使用者同意就預裝在某些手機的情形,還有使用者可以怎麼去處理它。

跟據這些報告,Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實,他是最先對Carrier IQ提出質疑的研究人員。

全都是服務的一部分

讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現,像是簡訊、電話、網路還有其他的服務。

以這為前提,我們可以說收集跟上述手機功能相關的使用情況是很有道理的,甚至對電信業者來說是必要的,才能有效地監控他們所提供的服務跟解決任何問題。

我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過,他指出Eckhart的影片是在詳細除錯模式下進行的,並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法,Carrier IQ的確會記錄發簡訊時的按鍵,但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時,鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊,不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。 繼續閱讀

檢查Andorid Market 上真假 Angery bird 憤怒鳥的 4 種方法

憤怒鳥 Angery bird

上週六趨勢科技於台北辦公室舉辦家庭日活動,除了七百位員工之外,更有近兩百位小小趨勢人到場與三位創辦人同樂,讓大小員工一同周末放輕鬆,在雲端防毒基地- PC-cillin 研發總部樂翻天! 趨勢科技台灣團隊運用巧思,融合現下潮流智慧型手機遊戲Angry Bird、海賊王,以及經典童話艾莉絲夢遊仙境等主題,打造專屬趨勢科技眷屬的雲端遊園地。風靡無數大人與小朋友的非 Angry bird主題館莫屬了。

憤怒鳥熱潮,使得惡意應用程式趁機作亂,比方說,真正的憤怒鳥在Android Market 網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Rovio Mobile

有些標榜免費的「Angry Birds(free)」是真的憤怒鳥嗎?假Angry Bird “免費”應用程式, 會偷偷收取簡訊費,即使Google目前移除了這些應用程式,但不排除未來在以不同的名稱出現。以下這篇文章趨勢科技要教你分辨真假憤怒鳥的方法。

憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡
憤怒鳥 Angery bird 大人小孩都瘋狂 圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡

作者:趨勢科技Kervin Alintanahin(威脅分析師)

 Android Market又再次被惡意軟體給入侵了,有些加值服務濫用程式(被趨勢科技偵測為ANDROIDOS_RUFRAUD.A)被偽裝成合法應用程式上傳到網站上。只有少部分使用者在Google將它們下架前安裝了這些惡意應用程式 – 這麼快的動作是因為有警覺的使用者和資安公司的快速回報。

 雖然這個惡意應用程式目前已經被Android Market給移除了,我們還是必須持續的戒備著,以防止惡意應用程式在以後又用新的面貌出現。特別是Android提供特賣以慶祝他們的10億次下載,使用者更容易因為低價而去安裝其所提供的應用程式。

 為了讓使用者可以在他們的Android上安裝更多很酷的應用程式又不會被惡意軟體所害,趨勢科技提出一些安裝應用程式之前要先記得的關鍵事項:

1. 檢查開發者的名稱

網路犯罪分子經常會利用某些應用程式的流行而去偽裝成它們。但是,因為它們不能以原始開發者的名義發佈,所以開發商的名稱可以說是合法軟體的好指標。比方說,真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的,但是惡意程式版本的開發者是Logastrod 

真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的
  繼續閱讀

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

作者:Mark Balanza (威脅分析師)

趨勢科技最近分析了手機病毒 – DroidKungFu的最新變種,偵測為ANDROIDOS_KUNGFU.CI。當我們監控ANDROIDOS_KUNGFU.CI和它的遠端伺服器之間的網路流量時,我們偶然的看到一個刪除某特定套件的指令。

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

在上面這個指令裡,伺服器指示惡意軟體刪除套件 – com.practical.share趨勢科技看過其他伺服器會送出的指令,像是更新惡意軟體的程式碼,安裝一個Android安裝套件(APK),或是打開一個網址。

趨勢科技研究了一下這個套件,發現這個被刪除的套件是一個新的DroidDreamLight變種。DroidDreamLight家族為人所知的就是會發送通知訊息,而這也是它社交工程陷阱的一部分。誘騙使用者去點擊通知訊息,就會下載新的元件或是自我更新。

這個特定的DroidDreamLight變種被偵測為ANDROIDOS_DORDRAE.O,當手機啟動或是收發通話的時候會啟動一個服務 – 「SystemConfService」。它會上傳跟之前版本一樣的資訊。

我想看看這個惡意軟體所會產生的通知訊息,所以我就架設一個網頁伺服器,修改模擬器的網路設定讓惡意軟體可以對它進行連線,藉此來進行測試。根據我對這程式碼的分析,惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案:

惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案

惡意軟體會顯示四種類型的通知訊息:

 更新

繼續閱讀