出現在 iOS App Store上不尋常的記帳軟體

 

 

第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。

 

圖1、iOS App Store內的家庭記帳軟體

 

 

圖2-4、應用程式啟動的各階段

 

程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為 iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 Continue reading “出現在 iOS App Store上不尋常的記帳軟體”

iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗

儘管行動威脅的感染方式和途徑大家都耳熟能詳,但行動威脅的多樣性、規模和範圍在 2016 年卻更加擴大。行動使用者目前仍是網路犯罪者所垂涎的目標,所以勒索病毒才會變得如此猖獗。再者,軟體被揭露的漏洞越來越多,歹徒也趁機擴大其攻擊面、惡意程式數量和散布方式。尤其,過去一向以安全自豪的 iOS 系統也開始淪陷。

2016 年,針對 Apple 裝置的攻擊主要是盡量避開 Apple 為了防止惡意程式上架所建立的嚴格審查機制。其中,Apple 的企業授權憑證是歹徒最常用來感染已越獄 iOS 裝置的方式。除此之外,也有越來越多漏洞遭到攻擊。這表示,隨著 Apple 的市占率不斷擴大,預料 Apple 的產品將有更多軟體漏洞被發現。

根據感染裝置的所在地點而調整其行為模式

2016 年,絕大部分可能有害的程式與惡意程式都會根據感染裝置的所在地點而調整其行為模式。例如,ZergHelper (IOS_ZERGHELPER.A) 在中國會假扮成某個第三方市集的應用程式,但在其他地區則是冒充成英文學習工具。同樣值得注意的是中國境內的第三方應用程式商店海馬 (以及越南的 HiStore) 會散布重新包裝且含有越權廣告的應用程式 (IOS_LANDMINE.A),此外還會濫用一些 iOS 的執行程序和功能利用軟體漏洞來避開 iOS 的隱私權保護機制。 Continue reading “iOS 裝置攻擊管道多樣化,Apple 審查機制受到嚴格考驗”

假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  

 

假面攻擊(Masque Attack)在2014年被首度報導,駭客只要使用相同Bundle ID的變造企業簽章應用程式就能替換掉App Store上的真正程式。Apple隨後就修補了這個漏洞(CVE-2015-3772CVE-2015-3725),不過當它關上了一扇門,詐騙分子也隨及打開了另一扇窗。Haima重新封裝過的廣告軟體和其原生Helper應用程式證明App Store詐騙仍然存在。

⊙ 延伸閱讀:iOS再曝高危險漏洞,會置換你合法下載的應用程式

趨勢科技在App Store上發現大量使用企業憑證及跟合法應用程式使用相同Bound ID的有問題iOS應用程式。經過深入研究後,我們發現Haima和其他第三方應用程式商店利用iOS程式碼簽章程序內的功能來達成資料繼承,從而完成其惡意行為。我們與Apple進行合作,並在iOS 10解決了這些問題,現在可以防止合法應用程式被造假版本蓋過。但是使用iOS 9.3.5或之前版本的設備仍可能受到影響,因此建議使用者要更新到iOS的最新版本。

 

潛在風險

不僅僅用來製造山寨版,這些漏洞也造成嚴重的風險,惡意分子可以針對合法應用程式來散布惡意軟體。詐騙者只需要建立跟正版應用程式具備相同Bundle ID的惡意程式,接著利用其熱門程度來誘騙使用者安裝他們的惡意軟體。企業所用的內部應用程式也一樣能夠透過相同Bundle ID來偽造、重新簽章和重新封裝。

對合法應用程式所造成的影響可能有很多種,取決應用程式如何控制自己的資料或如何實作其功能。許多合法應用程式用JavaScript來實作服務,其程式碼會自伺服器取回。利用這漏洞可以讓攻擊者用自己的伺服器連結替換掉原本的連結。讓他們能夠變更應用程式邏輯,接著控制應用程式的行為。

他們還可以修改資料來偽造網址,讓合法應用程式連到惡意服務來騙取個人身份資料,甚至直接竊取使用者的網路銀行帳號。還可以修改應用程式功能,例如替換應用程式開啟的網址來下載惡意軟體(在使用者「信任」憑證後執行)。也可以修改合法應用程式的廣告識別碼,將產生的廣告獲利轉給詐騙者。

 

假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)
圖1、假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)

Continue reading “假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  “

熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本

七月iOS 和 Android 最新手機遊戲 Pokemon Go (精靈寶可夢) 在真實世界投下了一顆震撼彈。

Pokemon Go 是神奇寶貝系列最新的熱門遊戲。Pokemon Go 遊戲的目標就是「Gotta catch ‘em all」(必須將它們全部收服),這一點玩家須靠手機和擴增實境技術在真實世界中達成。Pokémon Go 會利用手機的 GPS 定位並搭配 Google 地圖在真實世界的某些地點放置一些神奇寶貝供您透過手機搜尋。一旦您所在位置附近有神奇寶貝出沒,您就可以利用手機的相機來查看神奇寶貝,然後將它收服。此功能必須使用手機來尋找神奇寶貝,再藉由手機的照相功能讓您在周遭的環境上看到神奇寶貝。接著,您要在螢幕上投出一個神奇寶貝球來收服神奇寶貝並獲得經驗點數。

除此之外,Pokémon Go 還會指引使用者帶著神奇寶貝到真實世界的某些地點去找神奇寶貝競技場 (Gym),好讓神奇寶貝在此進行戰鬥訓練及升級。

假使去除了真實世界的元素,基本上這遊戲其實並無真正創新之處。Pokémon Go 結合擴增實境在真實世界進行遊戲的方式,可說是獨創而前所未見。不過,也讓我們見到擴增實境遊戲一些始料未及的風險。

這些始料未及風險就是真實的人身傷害。Pokémon Go 遊戲在上市的幾天之後即發生了多起武裝搶劫事件,歹徒利用遊戲來尋找及引誘受害者。此外,還有一些瘋狂玩家為了尋找和收服神奇寶貝竟然私闖民宅。美國更出現有玩家為了抓神奇寶貝而私闖民宅並且遭主人打傷的案例。還有些玩家因為玩得太過忘我、未注意到周遭情況而受傷或死亡。

因為遊戲本身相當有趣,就像任何電玩遊戲一樣,您很容易太過著迷,而且這款遊戲又需要全神貫注。是的,遊戲在一開始都會特別警告您要小心,但很快就會被遺忘。

App Store 和 Google Play 市集上源源不絕的新遊戲,可說是行動市場不斷成長的一股動力。不過,手機遊戲的不斷成長,也讓這些遊戲成為網路犯罪集團最佳的攻擊途徑之一。Pokemon Go 這款利用擴增實境技術的最新遊戲讓全球粉絲為之瘋狂。不幸的是,網路犯罪集團很快就盯上這股熱潮,遭到篡改的冒牌 Pokemon Go 應用程式,已開始在網路上流傳。冒牌版本裡頭暗藏著一個名為 DroidJack 的 RAT 遠端存取木馬程式 (趨勢科技命名為 AndroidOS_SANRAT.A)。此惡意版本已於 7 月 7 日上傳至非官方檔案分享網站 (離該遊戲在美國、澳洲和紐西蘭正式上市僅僅不到 72 小時)。

[延伸閱讀:數字會說話:遊戲玩家所面臨的危險]

惡意版本的目標並非美國、澳洲和紐西蘭的玩家,而是那些急著想要嘗鮮、卻位於遊戲尚未正式發行地區的玩家,他們會從非官方商店下載該遊戲並自行安裝。這個遭到篡改的遊戲,基本上可讓駭客完全掌控受害者的手機。此惡意程式可取得 Android 裝置所有主要功能的權限,包括存取、修改及執行各種功能:電話、簡訊、通訊錄、相機、錄音機,以及啟用或停用 Wi-Fi 連線。 Continue reading “熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本”

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]           

iphone 手機  

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。

根據 Apple 最近發表的聲明:

此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。Continue reading “Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全”

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

圖 2:被改過的 Xcode 6.2。

 

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID 版本 AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。


圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載