下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」,刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證,並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如 跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。

安裝前兩天不會出現惡意行為 直到跳出更新 Google Play 服務通知

這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」,顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑,該遊戲在安裝之初的兩天內都不會出現任何惡意行為。

此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務,並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻,在「sign in」(登入) 的字樣當中出現拼字錯誤。

若使用者不小心輸入了自己的登入憑證,惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像,例如「com.googles.android.gms」,這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外,惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」,此套件似乎與 Google 的套件功能一樣。

繼續閱讀

如何辨識手機內假應用程式?安裝 APP 前後須留意的事項

如何辨識手機內假應用程式?安裝應用程式前後須留意的事項

網路犯罪者為了欺騙智慧型手機用戶無所不用其極,試圖讓用戶安裝非法應用程式。 比如最近發現的案例:每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次 還有下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

如何辨識偽裝的假應用程式,以及在手機上安裝應用程式時應特別留意的事項。

ˇ 非法應用程式是如何入侵的?

ˇ 不讓非法應用程式接近的3大前提

ˇ 進行安裝前至少必須確認的3大事項

ˇ 安裝完應用程式後應留意的事項

|非法應用程式是如何入侵的?

    非法應用程式對手機使用者而言是無法忽視的威脅之一。非法應用程式指的就是,潛入裝置內對用戶進行非法的行為。

繼續閱讀

每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

隨著行動廣告支出的逐年增加,網路犯罪分子也會持續嘗試用更加巧妙的伎倆來透過廣告軟體賺取非法利潤。趨勢科技最近觀察到一波進行中的廣告軟體活動(趨勢科技偵測為AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA)隱藏在182個免費下載的遊戲和相機應用程式背後。它們大部分都能夠在Google Play上找到,已經被下載了數百萬次。這波廣告軟體活動可以隱藏應用程式圖示,跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測。

每五分鐘跳出全螢幕廣告!182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載數百萬次

這波廣告軟體活動可以隱藏應用程式圖示,跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測,圖為中文廣告樣本。

趨勢科技在2019年6月中旬發現這波偽裝成遊戲和相機應用程式的廣告軟體活動。我們根據應用程式的行為產生啟發式特徵碼來分析偵測到的其他樣本。經過分析應用程式套件名稱、標籤、發布時間、離線時間、程式碼結構以及程式碼樣式和功能後,我們推斷這波廣告軟體活動自2018年以來就一直活躍著,雖然所用的應用程式是由不同開發者所提交。

182應用程式,有111個出現在Google Play

在182個會載入廣告軟體的應用程式裡,有111個可在Google Play上找到。其他惡意應用程式可在託管一般應用程式的第三方商店找到(如9Apps或PP Assistant)。經過分析,我們發現Google Play上的111個應用程式中有43個是獨特或具備不同功能,其餘的則是迭代或重複的應用程式。

我們在分析過程中發現此波廣告軟體活動所用的惡意應用程式都已從Google Play上移除。這些應用程式在移除前的下載總量為 9,349,000。

圖1. 最後八個假遊戲和相機應用程式也已從Google Play上移除。這波廣告軟體活動所用的111個惡意應用都已經從Google Play移除。

繼續閱讀

遍及93國,竊取 377 種銀行應用程式個資的Anubis 銀行木馬,偽裝匯率轉換和電池節能app,利用動作感應資料躲避偵測

 

集銀行木馬 、 勒索病毒 、 鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播 。

Anubis本身內建的鍵盤側錄功能,能記錄使用者輸入的按鍵,也可直接截取使用者的裝置畫面,以便獲得帳號登入憑證。
根據趨勢科技的資料顯示,最新版的 Anubis 已散布至全球 93 個國家,可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外,Anubis 一旦成功執行,還有可能取得裝置上的通訊錄及定位資訊,也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人 。

最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式,這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。

第一個電池節能工具已累積了 5,000 次以上的下載,並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的,因為其中參雜了一些匿名用戶的評論,並且有些評論邏輯不通且缺乏實質內容。

根據趨勢科技對這波攻擊的研究,這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為 ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後,證明其程式碼與已知的 Anubis 樣本極為類似。此外,我們也發現它會連上位於「aserogeege.space」網域的幕後操縱 (C&C) 伺服器,該網域也與 Anubis 有所關聯。

這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址,而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址,從 2018 年至今大約已更換過六次,顯示歹徒的攻擊行動相當活躍。

Fig 1.

圖 1:Google Play 商店上的惡意應用程式。

Table 1.

表 1:BatterySaveMobi 所有樣本肆虐地區分布。


利用裝置的動作感應功能躲避偵測

上述不肖應用程式不僅使用了傳統的躲避技巧,還利用使用者裝置的動作感應功能來躲避偵測。

繼續閱讀

廣告程式冒充成遊戲、電視、遙控器應用程式,造成 900 萬 Google Play 用戶遭到感染

煩人的廣告程式存在已久,但至今仍無消退的跡象。最近趨勢科技發現了一個相當活躍的廣告程式家族 (趨勢科技命名為:AndroidOS_HidenAd) 會假冒成 85 款不同的應用程式,包括遊戲、電視頻道、遙控器等等應用程式在 Google Play 商店上散布。這款廣告程式會顯示全螢幕廣告,並且會自我隱藏,在背後持續執行,並暗中監控行動裝置螢幕解鎖功能。這 85 款冒牌應用程式在全球共累積了 900 萬次下載。Google 在收到我們通報並進行確認之後,也火速將這些應用程式從 Google Play 商店下架。

FIGURE 1-A

圖 1: Google Play 上一些由廣告程式假冒的應用程式。

其中有一款名為「Easy Universal TV Remote」(簡易萬用電視遙控器) 的應用程式,宣稱可以讓使用者透過手機來遙控電視,該程式是這 85 款應用程式當中累積下載次數最高的應用程式。

FIGURE 2-A

圖 2:Easy Universal TV Remote 應用程式資訊畫面。 繼續閱讀