iOS - 資安趨勢部落格

【手機病毒】XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

2019 年 04 月 08 日2019 年 04 月 12 日趨勢科技 TrendMicro

XLoader變種會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。
新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。

XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體，同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變，其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD)，是之前對此惡意軟體家族進行研究後的最新版本。

感染鏈

此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播，但我們已經看到許多使用者收到了簡訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-1-Screenshot-of-a-fake-website-that-hosts-XLoader-640x480.jpg

圖1. 託管XLoader的假網站截圖

在之前，XLoader能夠在電腦上挖掘虛擬貨幣，並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。

繼續閱讀

VPN 新手入門 (下篇)：如何設定 iOS 版趨勢科技行動安全防護的內容即時防護 VPN 功能

2018 年 04 月 13 日2022 年 04 月 20 日趨勢科技 TrendMicro

只要您使用 iOS 版趨勢科技行動安全防護的「內容即時防護」功能，您就能防止所有 iOS 上的瀏覽器或應用程式開啟有害的網站。此外，若您為家人設定了年齡分級過濾，他們就不會誤觸一些不當的網站。「內容即時防護」功能在您啟用本地端 VPN 時就會預設啟用。

如何啟用本地端 VPN?

1.開啟行動安全防護，當內容即時防護的簡介畫面出現時，請選擇立即設定。

2.點一下新增 VPN 設定，然後在下一頁點選Allow (允許)。

如何啟用內容即時防護?

繼續閱讀

出國旅行當心手機被扒,去年有23,000 台 iPhone在邁阿密機場失竊!

2017 年 12 月 20 日2017 年 12 月 07 日趨勢科技 TrendMicro

結合真實世界的網路犯罪,竊賊先解鎖Apple 裝置,再銷贓轉賣

網路詐騙與真實世界犯罪已經開始出現交集。根據趨勢科技今年 5 月所看到的一樁案例，歹徒利用工具破解 iCloud 帳號以解鎖偷來的 iPhone 手機。經過進一步追查之後，我們發現犯罪集團跨界的程度相當深。今日全球手機銷贓市場其實已具備相當的規模，而破解 iCloud 則是其中重要一環。從愛爾蘭、英國到印度、阿根廷及美國，失竊裝置解鎖服務的需求令人乍舌：去年，失竊的 iPhone 手機在東歐國家可賣到 2,100 美元之譜，而美國去年也有 23,000 台 iPhone (總價值 670 萬美元) 在邁阿密國際機場失竊。

假冒 Apple 名義發送一封電子郵件或簡訊給受害者

駭客的手法相當直接，他們假冒 Apple 名義發送一封電子郵件或簡訊給受害者，通知他們失竊的裝置已經尋獲。此時，心急如焚的受害者很可能不假思索就點下訊息隨附的連結，進而連上歹徒用來騙取受害者 iCloud 登入憑證的網頁，得手之後，歹徒就能解鎖偷來的 iPhone 手機。竊賊會透過第三方 iCloud 網路釣魚服務來解鎖裝置。這些 iCloud 網路釣魚服務業者所用的犯罪工具包括：MagicApp、Applekit 與 Find My iPhone (FMI.php) 架構，甚至建立了自動化 iCloud 解鎖流程，裝置一旦解鎖之後，就能賣到地下市場或灰色市場 (gray market)。

這類 iCloud 解鎖服務大多利用社群網站或個人網站來經營。此外，也提供服務轉售或伺服器租用 (替人發送網路釣魚訊息)。這類服務的客戶遍及全球，如：義大利、法國、西班牙、美國、印度、沙烏地阿拉伯、巴西以及菲律賓。雖然我們只研究了三個 iCloud 解鎖應用程式和服務，但網路上可找到的還更多，只要搜尋一下社群媒體、網路廣告和電子商務網站即可。

我們發現的案例牽涉到科索沃、菲律賓、印度和北非等國的數個犯罪集團。開發 AppleKit 的駭客在一個叫「dev-point」的阿拉伯駭客論壇上相當活躍。使用 MagicApp 或 AppleKit 兩套工具的客戶並不一定非用網路釣魚腳本不可，但因為開發人員大多熟悉彼此的產品 (而且成功率頗高)，因此許多人都傾向將三者合併使用。

利用網路釣魚騙取登入憑證
以下是歹徒犯案手法示意圖。駭客一旦取得了受害者的 iCloud 帳號，其工具就可以下載 iCloud 帳號來從事其他犯罪活動，然後再將它刪除。

圖 1：駭客犯罪手法示意圖。 繼續閱讀

iXintpwn/YJSNPI 濫用 iOS 組態設定檔，造成裝置毫無反應

2017 年 09 月 22 日2017 年 09 月 21 日趨勢科技 TrendMicro

儘管 iOS 對應用程式的嚴格審查機制讓該平台相對不太會安裝到危險的程式，但卻也無法完全杜絕網路上的各種威脅。2016 年，趨勢科技已見到好幾個惡意程式利用蘋果的企業憑證機制或其他漏洞來避開蘋果的嚴格審查。

眼前的一個例子就是 iXintpwn/YJSNPI (趨勢科技命名為 TROJ_YJSNPI.A)，這是一個惡意的組態設定檔，可造成 iOS 裝置變得毫無反應。這是日本一位初階駭客所留下的遺毒，此駭客已於今年六月初遭到逮捕。

儘管 iXintpwn/YJSNPI 目前似乎集中在日本，但就其目前在社群媒體上的氾濫情況來看，就算哪天擴散至其他地區也不令人意外。

iXintpwn/YJSNPI 最早於 2016 年 11 月下旬在 Twitter 上出現，接著也開始出現在 YouTube 和社群網站上。它會偽裝成一個名為「iXintpwn」的 iOS 越獄程式，與專門散布此惡意組態設定檔的網站同名。它會在受害裝置畫面上塞滿名為「YJSNPI」的圖示，也就是網路上流傳的「野獣先輩」的圖片。

不論作者當初是為了捉弄他人，或者是為了成名，其攻擊手法都相當值得關注，因為其他駭客也可將 iXintpwn/YJSNPI 所濫用的 iOS 功能 (也就是 iOS 未經簽署的組態設定檔) 變成一種攻擊武器。

YJSNPI 可經由使用者瀏覽含有惡意組態設定檔的網站而散布，尤其是當使用者所用的是 Safari 瀏覽器。此惡意網站含有 JavaScript 腳本，會在使用者瀏覽時傳回一個 Blob 物件 (也就是惡意組態設定檔)。當 iOS 裝置上最新版的 Safari 瀏覽器收到該物件時，就會去下載該設定檔。

圖 1：從程式碼可看出 YJSNPI 是一個 Blob 物件 (上)，以及此物件如何經由 Safari 瀏覽器下載 (下)。

iOS 組態設定檔案遭到濫用
iOS 組態設定檔案，可讓應用程式開發人員簡化設定大量裝置組態的程序，包括：電子郵件、Exchange、網路、憑證等等的設定。例如，企業可利用組態設定檔來簡化內部開發應用程式與企業裝置的管理作業。除此之外，組態設定檔也可用於自訂裝置的某些設定，如：存取權限、Wi-Fi、Virtual Private Network (VPN)、Lightweight Directory Access Protocol (LDAP) 目錄服務、Calendaring Extensions to WebDAV (CalDAV)、網站影片、登入憑證以及金鑰等等。

很顯然地，歹徒可利用惡意組態設定檔來竄改設定，例如將裝置的流量重新導向。過去曾經發生過的案例有專門竊取資訊的 Wirelurker 以及暗藏廣告程式的 Haima 重新包裝程式。

以 iXintpwn/YJSNPI 為例，歹徒使用了一個未經簽署的組態設定檔，並且將它設定成「無法刪除」，因此更難將它移除 (如下圖所示)。為了長期潛伏，它會透過 JavaScript 隨機產生「PayloadIdentifier」字串的值。請注意，iOS 系統其實有對應的安全措施，也就是，當已簽署或未簽署的設定檔要安裝在系統上時，需使用者親自同意。兩者唯一的差別在於設定檔的顯示方式，例如，已簽署的設定檔會標示為「已經確認」。

圖 2：iXintpwn/YJSNPI 使用一個未經簽署的設定檔。

圖 3：惡意的組態設定檔被設定成不可移除 (左)，其圖示填滿了整個手機螢幕 (右)。

繼續閱讀

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

2017 年 06 月 13 日2024 年 07 月 08 日趨勢科技 TrendMicro

“想看完整影片?請升級會員 “ 但有些影片,就算升到最高等級，付錢後,還是看不到影片….這是近日一批色情應用程式的技倆 !

激情快播 (SexQvodPlay),AV大片 (AVPlayer),优优快播 (UUQvodPlay),3D快播 (3DQvodPlay),春爱影院 (SexMovie),幻想影院 (DreamMovie),绝密影院 (BannedMovie),AV快播 (AVQvodPlay),成人影院 (AdultMovie)…..這些不肖色情應用程式在亞洲蔓延,這批色情應用程式會產生一大堆廣告，甚至引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊，甚至還會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼，以及裝置的 SIM 卡序號。

若使用者離線，或者應用程式在審查嚴格的地區執行時，應用程式就會假裝成一般正常程式。比如提供「名言佳句」的應用程式。但是，一旦離開”警戒區”,這些應用程式就會露出真面目….

網路上最熱門的賺錢管道之就是色情，不論是合法的色情內容，或是利用色情為餌的各種網路詐騙。去年，趨勢科技發現了一個專門透過色情網站散布的新木馬程式變種：Marcher。前年，歹徒利用熱門色情應用程式為誘餌，入侵了南韓數百萬民眾的手機。

色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店

最近又出現了一波利用這類誘餌的詐騙。我們發現，有大量中文介面的色情應用程式在 iOS 和 Android 平台上散布，某些甚至滲透到 Apple 的 App Store 官方應用程式商店。目前有數十萬個這種非必要程式 ( Potentially unwanted application 簡稱 PUA) 正透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為，不過會蒐集使用者的敏感資訊，如果在 Android 裝置上，還可攔截使用者的私人簡訊。

趨勢科技發現這類色情應用程式正如火如荼地四處散播，而且如果使用者不在特定地區，它們還會偽裝成正常程式。其背後的散播者 (目前我們在這數十萬個程式背後找出了兩名散播者) 還會假冒知名企業來取得這些不肖程式所需的企業憑證。這些色情應用程式甚至根本無法看到其宣稱的內容，歹徒只是誘騙使用者下載更多應用程式來讓他們賺錢，或者引誘使用者購買 VIP 會員之後就沒有下文。

惡意連結,通常放在色情網站或廣告上

為了散布這些應用程式，歹徒使用了三層式派送架構：惡意連結 (通常放在色情網站或廣告上)、安裝機制 (通常偽裝成正常的應用程式安裝網站)、後台伺服器 (用來製作與存放 PUA)。當使用者點選惡意連結，就會被導向惡意程式安裝機制，接著會出現畫面請使用者下載後台伺服器上的某個應用程式。