VPN 新手入門 (下篇):如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能

VPN 新手入門 (下篇):如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能

只要您使用 iOS 版趨勢科技行動安全防護的「內容即時防護」功能,您就能防止所有 iOS 上的瀏覽器或應用程式開啟有害的網站。此外,若您為家人設定了年齡分級過濾,他們就不會誤觸一些不當的網站。「內容即時防護」功能在您啟用本地端 VPN 時就會預設啟用。

 

 

如何啟用本地端 VPN:

VPN 新手入門 (下篇):如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能

 

 

1.       1.開啟行動安全防護,當內容即時防護的簡介畫面出現時,請選擇立即設定

2.       點一下新增 VPN 設定,然後在下一頁點選Allow (允許)

 VPN 新手入門 (下篇):如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能

如何啟用內容即時防護: Continue reading “VPN 新手入門 (下篇):如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能”

手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺

明明早上才充飽電,一到下午就開始為手機的電量爭鬥,想盡辦法讓它可以”活著回家”? 趨勢 3C 好麻吉為大家整理了手機耗電量大的 8 個原因,提供給大家檢查一下,是不是平常不知不覺的使用一些不必要的功能增加手機耗電量? (不過,第 8 點榨乾電力的原因跟使用習慣沒有太大關連 >[]<)

手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺

  1. app偷吃電?

    既然要省電就必須對症下藥,首先,到手機的設定去找尋看看app消耗的電量,如果有些app你很少用卻耗了很多電,趕緊考慮解除安裝它們吧。

  2. 螢幕亮度太高?

    智慧型手機裡消耗電量最大的地方幾乎都是用在螢幕上,所以使用「自動調整螢幕亮度」這個設定,讓手機系統對不同的環境都能夠自動最佳的調整螢幕亮度,就能夠降低耗電的狀況。 Continue reading “手機又沒電的8個原因,遇到榨乾電力的挖礦程式最難察覺”

交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!

可根據使用者的 Facebook 和 Spotify 資料,讓互相感興趣的雙方開始聊天的知名的手機交友軟體Tinder,經安全研究人員 Anand Prakash 披露漏洞及它利用Facebook Account Kit的方式。據研究人員稱,這漏洞讓駭客只需要受害者的電話號碼就能夠接管 Tinder 帳號並讀取私人訊息。幸好 Prakash所披露的安全漏洞已經被 Tinder 和 Facebook 迅速地修復。

[來自TrendLabs Intelligence BlogTinder、Grindr和OKCupid網路應用程式是否會被惡意用在網路間諜活動?]

交友 app  爆漏洞,用電話號碼就能劫持 Tinder 帳號!

什麼是Facebook Account Kit

Facebook的Account Kit讓第三方開發者可以簡化應用程式流程,使用者只需用電子郵件地址或電話號碼就可註冊和登入。當使用者輸入上述資訊,系統就會發送一組驗證碼用來登入帳號。Tinder是利用Account Kit來管理使用者登入的服務之一。

Account Kit不只用在iOSAndroid。它也支援Web和行動Web應用程式(無論是否啟用JavaScript)。Account Kit支援IE 10以上版本、Edge、Chrome、Firefox、Safari和Opera。目前支援230多個國碼和40多種語言。

[閱讀:Confusius網路間諜組織如何將愛情騙局用在網路間諜活動中]

 

Account Kit漏洞如何被利用? Continue reading “交友 app 爆漏洞,用電話號碼就能劫持 Tinder 帳號!”

Uber:資料外洩處理的負面教材

Uber 真是一家在各方面備受爭議的公司,從已公開浮上檯面的權力較勁勞資爭議法規挑戰以及看似惡質的文化,Uber 的地位似乎顯得岌岌可危。

近日,該公司又爆發一件醜聞:Uber 曾於 2016 年遭駭客入侵,使得 5,700 萬名客戶和司機資料遭到外洩 (姓名、電子郵件、電話)。相關報導: Uber:駭客竊走全球5700萬乘客.駕駛個資

此外,另有 60 萬名司機的執照也在該事件中外流。

令人悲哀的是,這類事件總是不斷發生。因為,沒有任何防禦是完美的,駭客總有辦法、而且早晚會想出辦法,就連最安全的系統也無法免於淪陷。資安措施必須接受這項事實,而且當遇到像這樣的事件要迅速因應才能降低衝擊,以便從資料外洩當中盡速復原。

從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題

延伸閱讀:

地下市場最搶手的個資:Netflix和Uber使用者帳號
從Uber未經同追蹤乘客位置遭罰2萬美金,談行動應用程式的隱私問題
叫車app也有山寨版?! 冒充叫車應用程式的 FakeToken 木馬再現身

Uber 採取了最糟的做法:試圖掩蓋

但這次的案例,Uber 卻採取了最糟的做法。他們選擇不公開資料外洩的事實,而且還支付歹徒 10 萬美元的封口費。不但如此,他們還刻意讓這筆款項看起來像是臭蟲懸賞計畫的獎金,讓場面更加難看。

付款給歹徒絕對是不明智的作法,而試圖掩蓋一起影響數千萬人的事件更是讓人無法容忍。

沒人能夠證明歹徒在收到款項之後會確實將資料刪除,這不是數位世界的運作法則。Uber 在聲明中表示他們「相信這些資料從未被拿來使用」,但事實上這說法毫無根據可言,這樣的話根本不值得採信。沒有人可以追蹤這些失竊的資訊最後被賣到哪裡或用到哪裡。難道 Uber 能監控所有的地下論壇、非法交易、或者聊天室?或者檢查每一個網站看看有沒有任何受害的使用者遭到冒名詐騙?

此外,想藉由付款給歹徒來掩蓋資料外洩的事實,只會鼓勵歹徒和其他駭客未來從事更多犯罪活動。數位勒索是我們預料 2018 年將大幅成長的網路犯罪領域,而我們也正與執法機關合作密切進行這方面的研究。

網路犯罪根本就是一種行業,因此當歹徒得手的金額越多,未來就越有本錢開發更多工具來攻擊更多目標。

遭到外洩的使用者的資料,很可能被拿到地下市場販賣

今年至今已發生多起大型資料外洩事件:YahooVerizonEdmodoEquifax 等等,每次都有數百、甚至數千萬名使用者因資料外洩而遭殃。 Continue reading “Uber:資料外洩處理的負面教材”

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務

第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務趨勢科技研究人員發現了第一個攻擊 Dirty COW漏洞的Android 惡意軟體: AndroidOS_ZNIU,已有超過30萬款Android程式夾帶ZNIU。目前超過40個國家偵測到該惡意軟體,主要出現在中國和印度, 但美國、日本、加拿大、德國和印尼也有受害者。直到本文撰寫時,有超過5000名 Android 使用者被感染。在惡意網站上有超過1200隻偽裝成色情和遊戲的應用程式,夾帶能夠攻擊 Dirty COW漏洞rootkit的ZNIU惡意應用程式。

2016年首次曝光的Dirty COW為藏匿於Linux的提權漏洞(CVE-2016-5195),可允許駭客取得目標系統上的root權限。漏洞被發現在Linux平台,包含Redhat和使用了Linux核心的Android。針對Android的Dirty COW攻擊一直到近日才出現,猜測攻擊者花了許多時間來開發能夠在主要設備上穩定執行的漏洞攻擊碼。

 

Figure 1 porn app

圖1:藏有ZNIU的色情應用程式

 

趨勢科技在去年製作過Dirty COW的概念證明(POC)程式,並且發現所有版本的Android作業系統都有此漏洞,不過ZNIU對Dirty COW漏洞的攻擊只限於ARM/x86 64位元架構的Android設備。另外,最近的這波攻擊可以繞過SELinux來植入後門程式,而 PoC程式只能修改系統的服務程式碼。

趨勢科技監視了6個 ZNIU rootkit,其中4個是Dirty COW漏洞攻擊碼。另外兩個是KingoRoot(一個rooting應用程式)及Iovyroot漏洞攻擊碼(CVE-2015-1805)。ZNIU使用KingoRoot和Iovyroot是因為它們可以破解ARM 32位元CPU的設備,而這是Dirty COW rootkit所做不到的。

感染流程

ZNIU惡意軟體經常偽裝成色情應用程式埋伏在惡意網站上,誘騙使用者點擊安裝。一但執行,ZNIU會跟C&C伺服器進行通訊。如果有可更新的程式碼,它會從C&C伺服器取得並載入系統。同時會利用Dirty COW漏洞來提升本地端權限,解除系統限制和植入後門,為未來遠端控制攻擊鋪路。

Figure 2 ZNIU infection chain

圖2:ZNIU感染鏈

 

進入設備主畫面後,惡意軟體會取得用戶電信業者的資訊,偽裝成設備所有人,利用基於簡訊的支付服務與電信業者進行交易。透過受害者的行動設備,ZNIU背後的操作者可以利用電信業者的付費服務獲利,有個案例是將款項轉至某個位於中國的虛設公司。當交易結束後,惡意軟體會刪除設備上的交易訊息,不留下電信業者和惡意軟體操作者間的交易紀錄。如果是中國以外的電信業者,就不會進行交易,但是惡意軟體還是可以攻擊系統漏洞來植入後門。

Figure 3 Transaction request sent by the malware to the carrier

圖3:從惡意軟體送給電信業者的交易請求

 

每月人民幣20元小額交易,避免驚動受害者

根據趨勢科技的分析,惡意軟體似乎只針對使用中國電信商的用戶。而且僅管惡意軟體操作者可以設定更高金額來從漏洞攻擊獲得更多金錢,但還是刻意的將每筆交易故意設為小額(每個月20元人民幣或3美元)來避免被發現。

Figure 4 Screenshot of the SMS transactions

圖4:SMS交易截圖

Continue reading “第一個鎖定 Dirty COW漏洞的Android惡意軟體,以色情應用程式為餌,偷偷訂閱付費服務”

百度音乐,手机百度,凤凰视频,爱奇艺PPS...Moplus SDK 的問題延燒到非百度應用程式

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”

出現在 iOS App Store上不尋常的記帳軟體

 

出現在 iOS App Store上不尋常的記帳軟體

 

第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。

 

出現在 iOS App Store上不尋常的記帳軟體

圖1、iOS App Store內的家庭記帳軟體

 

出現在 iOS App Store上不尋常的記帳軟體

 

出現在 iOS App Store上不尋常的記帳軟體

圖2-4、應用程式啟動的各階段

 

程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為 iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 Continue reading “出現在 iOS App Store上不尋常的記帳軟體”

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。

此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。

只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。

先安裝正牌 iTunes 程式

這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

圖 1:iTunes 下載提示訊息。

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

圖 2:下載來源為海馬的伺服器。

這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。

接著套用修補套件

安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件: Continue reading “iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為”

12個最常被濫用的Android應用程式權限

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

開學兒童網安要注意,三撇步記牢不擔心

使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣

過去半年,我走遍了整個美國,並且很幸運地有機會和數百位四到八年級的學生相處了相當多的時間。 這些多半是大人們因為對社群媒體上充斥著各種負面的人際問題 (網路霸凌、性愛簡訊、隱私侵犯、駭客詐騙等等),因而憂心忡忡地邀請我和學生們座談。當然,大人也坦承自己對孩子的網路世界一竅不通所以才會感到恐懼。 

其實,大人的擔心不是沒有道理的,因為孩子確實可能遇到一些不好的情況,或者彼此之間發生一些不愉快的狀況。然而,其實大多數的情況是孩子只是在網路上從事一些無害的活動,例如:做做功課、和朋友聊天、觀看影片,或者發揮創意。去年,我發現很多孩子都非常熱衷於音樂,他們喜歡探索、聆聽及分享音樂。其中最受歡迎的音樂應用程式包括:Spotify、Pandora、iHeart Radio 及 YouTube。隨著這些免費或付費音樂串流服務的出現,加上它們提供了蒐集和分享自己最愛音樂清單的功能,因此,這些應用程式對他們來說,就像我們當年自製的音樂合輯錄音帶一樣。根據 eMarketer 的調查,青少年平均每天有四小時以上的時間和音樂為伍。對於每天都做的同樣一件事情來說,這時間算是很長的。但孩子們就是喜歡。

除了單純聆聽音樂之外,孩子們還會使用像 Musical.ly 和 Dubsmash 這類製作對嘴自拍影片的應用程式。我試過這類程式,也看過孩子們在用。這類程式通常都是純粹好玩或是搞笑,讓孩子們發揮創意及展現自我。他們可在別人的創作上加上自己的想像力,每一次都像是幾分鐘的即興創作或重製創作。不過這兩個應用程式有一點不同:Musical.ly 算是一個社群媒體,因此,您是透過這個應用程式和他人一起創作及分享。Dubsmash 則不是,它是一個純粹讓您對嘴自拍影片的創作工具,製作好的影片也可以分享到 Instagram、Facebook 之類的社群媒體。

這些應用程式可讓您利用某首歌曲或其他電影橋段 (如電影裡的一句台詞) 來錄製對嘴的影片。對孩子來說,這只是好友們之間玩樂的一種方式。但對於像 Rihanna 這類藝人來說,這卻是一個和粉絲們互動的獨特方式。如同 YouTube 一樣,它可能是某人成名的一個契機。

若您已聽過這類應用程式,或者您的孩子正向您要求使用這類程式,以下是三項有助於他們維護安全的聰明守則:

  1. 張貼之前先考慮清楚。

如同您在網路上張貼的其他內容一樣,請記住一點,內容一旦張貼就很難收回。您愛怎麼玩都可以,但務必記住一旦您將影片分享出去,就會變成公開內容。您張貼的任何東西,都會反過來對您造成某種影響。或許您的創作非常搞笑,但如果只適合您自己看看就好,就千萬別分享出去。您可以保留在手機內,當自己想看或想給別人看的時候,就在手機上看。 Continue reading “使用對嘴自拍影片應用程式: Dubsmash 和 Musical.ly 的三項兒童隱私保護祕訣”

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

Malicious-Pokemon-Go-Apps-FB會偷偷幫你點色情廣告,讓你手機帳單暴增假 GPS 定位?! 山寨《Pokemon Go》相關事件層出不窮,趨勢科技最新發現有一個假冒《Pokemon GO》之名的勒索病毒已經現身,遭攻擊的裝置除了檔案被加密之外還會跳出一支比卡丘的畫面鎖住電腦螢幕。

《Pokemon GO》手機遊戲如旋風般橫掃全球,網路犯罪集團早就盯上這波熱潮,連勒索病毒 Ransomware (勒索軟體/綁架病毒) 也來湊熱鬧。最近有一個假冒《Pokemon GO》之名的 Windows 應用程式出現,趨勢科技將它命名為:Ransom_POGOTEAR.A。這個勒索病毒看似平凡無奇,然而在經過仔細研究之後,我們發現它是從 Hidden Tear 這個 2015 年 8 月釋出的教育性開放原始碼勒索病毒修改而來。

 

在受害電腦上建立網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上

開發這個《Pokemon GO》勒索病毒的駭客利用它在 Windows 系統上建立一個名為「Hack3r」的後門使用者帳號,並且將此帳號加入系統管理員 (Administrator) 群組。此外,駭客還透過修改系統登錄的方式,讓這個 Hack3r 帳號不會出現在 Windows 登入畫面上。同時,它還會在受害者的電腦上建立一個網路共用資料夾,讓勒索病毒可以將其執行檔複製到所有磁碟上。

執行檔複製到可卸除式磁碟時,就會自動執行《Pokemon GO》寶可夢勒索病毒

當這執行檔是複製到可卸除式磁碟時,它還會順便建立一個自動執行 (autorun) 檔案,這樣每當使用者將此隨身碟插入電腦時就會自動執行勒索病毒。若是複製到電腦內建的磁碟,則會複製到磁碟的根目錄。歹徒透過這樣的方式,讓當受害者每次登入 Windows 時都會執行這個《Pokemon GO》勒索病毒。

研究人員表示,有多個跡象顯示這個勒索病毒目前仍在開發階段。首先,它採用了固定的 AES 加密金鑰:「123vivalalgerie」。其次,其幕後操縱 (C&C) 伺服器使用的是私人 IP 位址,這表示它無法經由網際網路連線。

根據這個《Pokemon GO》勒索病毒的勒索訊息所使用的語言來看,它似乎是針對阿拉伯語系的國家而開發,勒索訊息畫面上還有一隻皮卡丘的圖案。不但如此,其螢幕保護程式執行檔中還含有一個檔名為「Sans Titre」的圖片 (這是法文「未命名」的意思),這似乎也透露出程式開發者的國籍。

勒索訊息畫面上出現皮卡丘的圖案
勒索訊息畫面上出現皮卡丘的圖案

Hidden Tear 釋出原始碼時闡明僅供教育用途,不得用來開發勒索病毒,但… Continue reading “這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮”

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事

「你想抓噴火龍嗎?」
「好啊!」
「那邊有1隻喔!你想跟我一起過去嗎?」

影片中的小朋友真的眼中只有噴火龍,完全沒有警覺心的跟陌生人前往危險的地方

如果你家中也有瘋抓寶可夢的孩子,千萬別像影片中的爸爸一樣,孩子三更半夜溜到黑暗的公園抓寶物,甚至被陌生人騙走都還不知道啊!

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事
圖片來源:BlurryMe / Shutterstock.com

 

任天堂推出以其知名動畫為背景的《Pokémon Go》手機遊戲。此免費遊戲獨特之處在於玩家必須親自前往真實世界的不同地點來進行遊戲以獲得獎勵。玩家可在遊戲中建立一個代表自己的虛擬人偶,如同遊戲中的角色一樣。不同的是,遊戲中的角色會投射在玩家手機所拍到的真實世界上。這是第一個適合普羅大眾、同時廣受喜愛的擴增實境應用程式。

我自己也註冊了一個帳號,並且在家裡及後院測試了一下,而我九歲大的孩子一直在背後躍躍欲試地看著我玩。能夠透過手機相機在遊戲當中看到真實世界,並且看到家中沙發上頭冒出一個遊戲角色,確實是一種很酷的經驗。在遊戲當中,我必須拋出所謂的神奇寶貝球來收服這些遊戲中的角色。其實,我比較希望這些神奇寶貝不會在我收服它們之後消失。

我原本想說只要在自己家中或附近晃晃就好,但四處閒晃了 20 分鐘之後 (還要試著避免踢到桌腳或門擋),我發現這遊戲在有限的空間內沒什麼好玩的。最後,我因為開始覺得無聊就停止再玩

新聞報導大多圍繞在人們像旅鼠般的集體遷移行為,或是任天堂的股價,或是這類遊戲所造成的危險,例如,它會帶您到一些不安全的地點、蒐集您的大量個人資料 (因為它必須隨時知道您的所在地點) 等等。

我個人覺得您要自己試試看之後再下判斷。同時,我也強烈建議在您讓孩子到市區 (或更遠的地方) 抓寶之前,您自己應該先試玩看看 (或者和孩子一起試玩)。儘管這款遊戲看似簡單而有趣,但的確存在著一些您必須知道的風險

以下是身為家長的您必須知道的六件事: Continue reading “小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事”

這隻皮卡丘抓不得!勒索病毒也搶搭寶可夢《Pokemon GO》抓寶熱潮

抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥

結合地理定位和擴增實境的最新遊戲:《Pokémon Go》正席捲全球。該遊戲自從 7 月 6 日轟動上市至今,台灣也在 8月 6 日開放下載,已取代 Facebook 成為 Android 裝置上使用率最高的應用程式。不僅如此,根據 Apple 的消息,該遊戲是有史以來上市第一週下載次數最多的應用程式。毫無意外,詐騙集團和網路犯罪集團早已搭上這波熱潮並準備海撈一票。他們製作了各種惡意的冒牌遊戲,以及各種相關的輔助應用程式,而這些程式不是將電腦螢幕鎖住,就是會讓電腦感染恐嚇程式、廣告程式,甚至遠端存取木馬程式

輕鬆賺取 Pokécoin 遊戲幣的教學程式? 是詐騙!

最近,趨勢科技在 Google Play 商店上又看到一個宣稱可協助玩家輕鬆賺取 Pokécoin 遊戲幣的教學程式 (遊戲幣可在遊戲中賺取,或者用真實貨幣購買)。然而,這其實是個詐騙。

圖 1:Google Play 商店上的應用程式畫面 (左)。安裝與啟動之後會出現兩個視窗,一個是「Hack Root」(中),另一個是「Download Pokémon Go」(右)。
圖 1:Google Play 商店上的應用程式畫面 (左)。安裝與啟動之後會出現兩個視窗,一個是「Hack Root」(中),另一個是「Download Pokémon Go」(右)。

 

冒牌安裝程式:誘騙使用者下載及安裝其他程式

除此之外,歹徒也利用《Pokémon Go》尚未在某些地區開放的情況,若使用者位於遊戲尚未開放的國家,歹徒就會叫使用者到下列網址去下載一個 Android 應用程式安裝檔 (APK):hxxp://catafiles.com/547457

圖 2:歹徒將使用者導向宣稱提供《Pokémon Go》APK 檔的網站,使用者若要下載這份 APK 檔,必須先下載他們推銷的另一個應用程式。
圖 2:歹徒將使用者導向宣稱提供《Pokémon Go》APK 檔的網站,使用者若要下載這份 APK 檔,必須先下載他們推銷的另一個應用程式。

Continue reading “抓寶可夢竟有假 GPS 定位?! 山寨《Pokémon Go》假應用程式,廣告程式充斥”

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

圖 2:被改過的 Xcode 6.2。

 

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID 版本 AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)
圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數 【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單) 【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單) 【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單) 【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

< 資安漫畫 > 跑步 app 透漏了不想公開的秘密!!

資安漫畫 app 社群網站洩漏隱私

日本資安漫畫 banner

 

你的手機 APP,社群網站貼文和照片是否公開了自己的秘密?

社群網站雖然方便有趣,公開資訊時還是必須留意,免得像小明一樣,不小心將自己的體重洩漏給大家知道了,提醒大家除了貼文本身的內容外, 也要當心上傳照片時,GPS公開你的拍攝位置。

以廣受歡迎的照片分享社群網站Instagram為例,其「照片地圖」功能,可將位置資訊加入照片中,然後顯示在地圖上。旅遊時,開啟「新增照片地圖」並張貼照片,即可在地圖上回顧旅途的點點滴滴。 Continue reading “< 資安漫畫 > 跑步 app 透漏了不想公開的秘密!!”

一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞,攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式(佔 Google Play上所有應用程式的5.6%)都可能受此漏洞影響。

pache Cordova

該漏洞被存在於Cordova的一個功能內,讓Secondary Configuration Variables(也就是偏好設定)可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新(也就是Github的提交)的一部分,Cordova Android也更新為0.9.3。

我們的研究顯示,如果Base Activity沒有被適當的防護且偏好設定設成預設值,攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞:

  • 應用程式至少有一個元件延伸自Cordova的Base Activity:CordovaActivity或設定Cordova框架(像java)沒有被適當的防護,也就是說可以被應用程式外部存取。
  • 至少一個Cordova支援的偏好設定(除了LogLevel的和ErrorUrl)未在設定檔案(xml)中被定義。

 

它如何運作

要了解該漏洞如何運作,要先來看看應用程式的偏好設定如何設置。 Continue reading “一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)”

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

 

圖1、有MDash SDK的應用程式範例

 

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

圖2、MDash SDK原始碼結構

Continue reading “< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK”