2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式

 

2015 上半年行動威脅情勢的焦點在於作業系統、應用程式以及裝置本身的漏洞。過去幾個月來所發生的幾起重大事件和案例顯示這些漏洞已成為歹徒的攻擊管道。此外,越權廣告程式和可能有害的程式 (PUA) 仍是極為普遍的威脅,數以百萬計的使用者因而暴露在惡意廣告與個資蒐集程式的危險當中。

以下是 2015 上半年幾起最重大的行動威脅案例。

內含 MDash 軟體開發套件 (SDK) 的應用程式突顯出線上廣告的危險

一些可能有害的線上廣告不光只是煩人而已,還會在行動裝置上植入惡意程式。

今年二月,Google Play 下架了一些據報由廣告程式偽裝的應用程式,這些內含 MDash 廣告 SDK 的應用程式讓數百萬台裝置感染了越權廣告程式,這就是趨勢科技所偵測到的 ANDROIDOS_ADMDASH.HRX。內含此 SDK 的惡意程式家族可在使用者背後偷打電話並偷偷蒐集資訊,並將資訊傳送至遠端伺服器。此外,還會在已感染的裝置上再安裝其他更惡劣的廣告。

內含 MDash SDK 的 App 程式

根據我們的調查,截至去年 3 月 11 日為止,Google Play 商店上就發現 2,377 個這類 App 程式的 SHA-256 雜湊碼。Google 在接獲研究人員通知之後,立刻展開了調查。

Pawn Storm 攻擊行動使用惡意的 iOS App 繼續閱讀

惡意廣告:安靜卻致命

作者:趨勢科技全球安全研究副總裁Rik Ferguson

 

 

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報Google赫芬頓郵報等數不清的例子。

多年來,惡意廣告已經成為犯罪分子利用合法框架來散播惡意攻擊和賺取非法收入這越來越常見作法的代表例子。線上廣告生態系統的模糊性質讓攻擊者可以輕易地利用真正的廣告商來派送攻擊,而大型廣告網路的全球覆蓋率可以將任何攻擊的的潛在受害者以倍數的放大,遠遠超出犯罪份子原本預期的程度。

根據Online Trust Alliance所公佈的數據顯示,在2012年有將近100億的廣告曝光數受到惡意廣告影響,而接著在2012年到2013年間出現了225%的成長,發生209,000次的事件,產生超過124億的惡意廣告曝光數。

使用者已經漸漸地不想看到出現在網路或傳統媒體上的廣告曝光。如果濫用廣告網路的趨勢繼續下去,那麼我們可以期待看到瀏覽器廠商直接加入廣告封鎖功能,這在今日只能用第三方外掛程式做到。這將會毀掉線上廣告的商業模式。想避免這巨大改變唯一可能的做法是廣告網路正視這個問題,要確認自己所提供的內容,比方說推出前先用沙箱測試,並且要確認基礎設施的安全性,防護可能會被犯罪分子用來將自身融入這生態系的弱點,不管是在技術上和程序上,比方說,對他們所服務的客戶進行有效的身份驗證。

 

想了解更多關於惡意廣告在2015年所造成的影響,可以參考我們2015年第一季的資安綜合報告,「惡意廣告和零時差漏洞:重新崛起的的威脅挑戰對供應鏈和最佳實作的信任」

[延伸閱讀:當線上廣告出現惡意攻擊行為]

 

 

廣告網路被入侵,使用者成為Nuclear漏洞攻擊包的受害者

 

MadAdsMedia,這是一家美國的網路廣告商,最近遭受到網路犯罪份子的入侵,導致使用他們廣告平台的網站帶給訪客出自Nuclear漏洞攻擊包的Adobe Flash漏洞攻擊。每天有多達12,500名的使用者可能受到此威脅的影響;其中有三個國家佔了一半以上的點擊量:日本、美國和澳洲。

 

圖1、這次攻擊最早出現在四月,雖然流量相較起來比較低。受影響使用者的數量在五月初開始出現顯著成長,在5月2日達到每日12,500名受影響使用者的高峰。

最初,趨勢科技認為這是另一種型態的惡意廣告,但後來所發現的證據顯示並非如此。一般的惡意廣告攻擊會是由攻擊者所註冊廣告軟體來觸發的重新導向。但在MadAdsMedia事件中並非如此。我們看到其JavaScript 程式庫的網址出現異常行為 – 這原本是用來分配廣告如何顯示在客戶網站:

 

圖2、JavaScript程式庫網址提供JavaScript,就如預期的一般

繼續閱讀

一個月來第3個!Adobe Flash零時差攻擊,隱藏於惡意廣告中

Flash Player又有零時差漏洞! 這是 Adobe在今年1月下旬相繼修補兩個Flash Player零時差漏洞之後,第三個重大漏洞,除了會導致當機外,駭客也有機會掌控受駭系統,並已傳出攻擊行動。

趨勢科技研究團隊在一波惡意廣告攻擊事件中發現了新的Adobe Flash 零時差漏洞,此漏洞影響最新版本的Adobe Flash,漏洞編號為CVE-2015-0313,趨勢科技將此漏洞偵測為SWF_EXPLOIT.MJST。

當使用者瀏覽 dailymotion.com網站時,會被導至一系列網站,最後會開啟一個惡意網站,目前趨勢科技產品已可偵測相關惡意網站。這一連串的流量引導行為是來自於相關網站的廣告平台,而非網站的內容,因此受影響的並不只是dailymotion.com,也有其他網站遭到牽連。

趨勢科技在今年的1月14日便偵測到相關攻擊,並在1月27日看到惡意網站的流量高峰,已觀察到約3294起與該攻擊程式有關的案例,建議使用者暫時關閉 Flash Player。

 

alert

註:此漏洞與2015年一月份所披露的漏洞不同。

細節:
面對此類漏洞,趨勢科技建議您儘速更新原廠的漏洞修補程式,但截至目前為止,Adobe官方尚未針對此漏洞發佈安全性更新,而我們也持續監控與此漏洞可能相關的其他攻擊。此漏洞影響及於最新版的Adobe Flash Player(版本號:16.0.0.296)及前一個版本,趨勢科技建議您在安全性更新發佈之前停用或阻擋這些版本的Adobe Flash Player。同時,我們也持續與Adobe確認安全性更新的釋出時間。

繼續閱讀