出現在 iOS App Store上不尋常的記帳軟體

 

 

蘋果商店內的第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。

 

圖1、iOS App Store內的家庭記帳軟體

 

 

圖2-4、應用程式啟動的各階段

 

程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定plist內的PPAASSWOpenKey鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 Continue reading “出現在 iOS App Store上不尋常的記帳軟體"

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。

此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。

只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。

先安裝正牌 iTunes 程式

這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。

圖 1:iTunes 下載提示訊息。

圖 2:下載來源為海馬的伺服器。

這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。

接著套用修補套件

安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件: Continue reading “iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為"

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高"

使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣

過去半年,我走遍了整個美國,並且很幸運地有機會和數百位四到八年級的學生相處了相當多的時間。 這些多半是大人們因為對社群媒體上充斥著各種負面的人際問題 (網路霸凌、性愛簡訊、隱私侵犯、駭客詐騙等等),因而憂心忡忡地邀請我和學生們座談。當然,大人也坦承自己對孩子的網路世界一竅不通所以才會感到恐懼。 

其實,大人的擔心不是沒有道理的,因為孩子確實可能遇到一些不好的情況,或者彼此之間發生一些不愉快的狀況。然而,其實大多數的情況是孩子只是在網路上從事一些無害的活動,例如:做做功課、和朋友聊天、觀看影片,或者發揮創意。去年,我發現很多孩子都非常熱衷於音樂,他們喜歡探索、聆聽及分享音樂。其中最受歡迎的音樂應用程式包括:Spotify、Pandora、iHeart Radio 及 YouTube。隨著這些免費或付費音樂串流服務的出現,加上它們提供了蒐集和分享自己最愛音樂清單的功能,因此,這些應用程式對他們來說,就像我們當年自製的音樂合輯錄音帶一樣。根據 eMarketer 的調查,青少年平均每天有四小時以上的時間和音樂為伍。對於每天都做的同樣一件事情來說,這時間算是很長的。但孩子們就是喜歡。

除了單純聆聽音樂之外,孩子們還會使用像 Musical.ly 和 Dubsmash 這類製作對嘴自拍影片的應用程式。我試過這類程式,也看過孩子們在用。這類程式通常都是純粹好玩或是搞笑,讓孩子們發揮創意及展現自我。他們可在別人的創作上加上自己的想像力,每一次都像是幾分鐘的即興創作或重製創作。不過這兩個應用程式有一點不同:Musical.ly 算是一個社群媒體,因此,您是透過這個應用程式和他人一起創作及分享。Dubsmash 則不是,它是一個純粹讓您對嘴自拍影片的創作工具,製作好的影片也可以分享到 Instagram、Facebook 之類的社群媒體。

這些應用程式可讓您利用某首歌曲或其他電影橋段 (如電影裡的一句台詞) 來錄製對嘴的影片。對孩子來說,這只是好友們之間玩樂的一種方式。但對於像 Rihanna 這類藝人來說,這卻是一個和粉絲們互動的獨特方式。如同 YouTube 一樣,它可能是某人成名的一個契機。

若您已聽過這類應用程式,或者您的孩子正向您要求使用這類程式,以下是三項有助於他們維護安全的聰明守則:

  1. 張貼之前先考慮清楚。

如同您在網路上張貼的其他內容一樣,請記住一點,內容一旦張貼就很難收回。您愛怎麼玩都可以,但務必記住一旦您將影片分享出去,就會變成公開內容。您張貼的任何東西,都會反過來對您造成某種影響。或許您的創作非常搞笑,但如果只適合您自己看看就好,就千萬別分享出去。您可以保留在手機內,當自己想看或想給別人看的時候,就在手機上看。 Continue reading “使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣"

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

Malicious-Pokemon-Go-Apps-FB會偷偷幫你點色情廣告,讓你手機帳單暴增假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身,遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。

《Pokemon GO》手機遊戲如旋風般橫掃全球,網路犯罪集團早就盯上這波熱潮,連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現,趨勢科技將它命名為:Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇,然而在經過仔細研究之後,我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。

 

在受害電腦上建立網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組。此外,駭客還透過修改系統登錄的方式,讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時,它還會在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時,就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔是複製到可卸除式磁碟時,它還會順便建立一個自動執行 (autorun) 檔案,這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟,則會複製到磁碟的根目錄。歹徒透過這樣的方式,讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示,有多個跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看,它似乎是針對阿拉伯語系的國家而開發,勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此,其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思),這似乎也透露出程式開發者的國籍。

勒索訊息畫面上出現皮卡丘的圖案
勒索訊息畫面上出現皮卡丘的圖案

Hidden Tear 釋出原始碼時闡明僅供教育用途,不得用來開發勒索病毒,但… Continue reading “這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮"

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事

「你想抓噴火龍嗎?」
「好啊!」
「那邊有1隻喔!你想跟我一起過去嗎?」

影片中的小朋友真的眼中只有噴火龍,完全沒有警覺心的跟陌生人前往危險的地方

如果你家中也有瘋抓寶可夢的孩子,千萬別像影片中的爸爸一樣,孩子三更半夜溜到黑暗的公園抓寶物,甚至被陌生人騙走都還不知道啊!


圖片來源:BlurryMe / Shutterstock.com

 

任天堂推出以其知名動畫為背景的《Pokémon Go》手機遊戲。此免費遊戲獨特之處在於玩家必須親自前往真實世界的不同地點來進行遊戲以獲得獎勵。玩家可在遊戲中建立一個代表自己的虛擬人偶,如同遊戲中的角色一樣。不同的是,遊戲中的角色會投射在玩家手機所拍到的真實世界上。這是第一個適合普羅大眾、同時廣受喜愛的擴增實境應用程式。

我自己也註冊了一個帳號,並且在家裡及後院測試了一下,而我九歲大的孩子一直在背後躍躍欲試地看著我玩。能夠透過手機相機在遊戲當中看到真實世界,並且看到家中沙發上頭冒出一個遊戲角色,確實是一種很酷的經驗。在遊戲當中,我必須拋出所謂的神奇寶貝球來收服這些遊戲中的角色。其實,我比較希望這些神奇寶貝不會在我收服它們之後消失。

我原本想說只要在自己家中或附近晃晃就好,但四處閒晃了 20 分鐘之後 (還要試著避免踢到桌腳或門擋),我發現這遊戲在有限的空間內沒什麼好玩的。最後,我因為開始覺得無聊就停止再玩

新聞報導大多圍繞在人們像旅鼠般的集體遷移行為,或是任天堂的股價,或是這類遊戲所造成的危險,例如,它會帶您到一些不安全的地點、蒐集您的大量個人資料 (因為它必須隨時知道您的所在地點) 等等。

我個人覺得您要自己試試看之後再下判斷。同時,我也強烈建議在您讓孩子到市區 (或更遠的地方) 抓寶之前,您自己應該先試玩看看 (或者和孩子一起試玩)。儘管這款遊戲看似簡單而有趣,但的確存在著一些您必須知道的風險

以下是身為家長的您必須知道的六件事: Continue reading “小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事"

抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥

結合地理定位和擴增實境的最新遊戲:《Pokémon Go》正席捲全球。該遊戲自從 7 月 6 日轟動上市至今,台灣也在 8月 6 日開放下載,已取代 Facebook 成為 Android 裝置上使用率最高的應用程式。不僅如此,根據 Apple 的消息,該遊戲是有史以來上市第一週下載次數最多的應用程式。毫無意外,詐騙集團和網路犯罪集團早已搭上這波熱潮並準備海撈一票。他們製作了各種惡意的冒牌遊戲,以及各種相關的輔助應用程式,而這些程式不是將電腦螢幕鎖住,就是會讓電腦感染恐嚇程式、廣告程式,甚至遠端存取木馬程式

輕鬆賺取 Pokécoin 遊戲幣的教學程式? 是詐騙!

最近,趨勢科技在 Google Play 商店上又看到一個宣稱可協助玩家輕鬆賺取 Pokécoin 遊戲幣的教學程式 (遊戲幣可在遊戲中賺取,或者用真實貨幣購買)。然而,這其實是個詐騙。

圖 1:Google Play 商店上的應用程式畫面 (左)。安裝與啟動之後會出現兩個視窗,一個是「Hack Root」(中),另一個是「Download Pokémon Go」(右)。
圖 1:Google Play 商店上的應用程式畫面 (左)。安裝與啟動之後會出現兩個視窗,一個是「Hack Root」(中),另一個是「Download Pokémon Go」(右)。

 

冒牌安裝程式:誘騙使用者下載及安裝其他程式

除此之外,歹徒也利用《Pokémon Go》尚未在某些地區開放的情況,若使用者位於遊戲尚未開放的國家,歹徒就會叫使用者到下列網址去下載一個 Android 應用程式安裝檔 (APK):hxxp://catafiles.com/547457

圖 2:歹徒將使用者導向宣稱提供《Pokémon Go》APK 檔的網站,使用者若要下載這份 APK 檔,必須先下載他們推銷的另一個應用程式。
圖 2:歹徒將使用者導向宣稱提供《Pokémon Go》APK 檔的網站,使用者若要下載這份 APK 檔,必須先下載他們推銷的另一個應用程式。

Continue reading “抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥"

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

圖 2:被改過的 Xcode 6.2。

 

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID 版本 AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。


圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

< 小廣和小明的資安大小事 > 跑步 app 透漏了不想公開的秘密!!

資安漫畫 app 社群網站洩漏隱私

日本資安漫畫 banner

 

你的手機 APP,社群網站貼文和照片是否公開了自己的秘密?

社群網站雖然方便有趣,公開資訊時還是必須留意,免得像小明一樣,不小心將自己的體重洩漏給大家知道了,提醒大家除了貼文本身的內容外, 也要當心上傳照片時,GPS公開你的拍攝位置。

以廣受歡迎的照片分享社群網站Instagram為例,其「照片地圖」功能,可將位置資訊加入照片中,然後顯示在地圖上。旅遊時,開啟「新增照片地圖」並張貼照片,即可在地圖上回顧旅途的點點滴滴。 Continue reading “< 小廣和小明的資安大小事 > 跑步 app 透漏了不想公開的秘密!!"