假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  

 

假面攻擊(Masque Attack)在2014年被首度報導,駭客只要使用相同Bundle ID的變造企業簽章應用程式就能替換掉App Store上的真正程式。Apple隨後就修補了這個漏洞(CVE-2015-3772CVE-2015-3725),不過當它關上了一扇門,詐騙分子也隨及打開了另一扇窗。Haima重新封裝過的廣告軟體和其原生Helper應用程式證明App Store詐騙仍然存在。

⊙ 延伸閱讀:iOS再曝高危險漏洞,會置換你合法下載的應用程式

趨勢科技在App Store上發現大量使用企業憑證及跟合法應用程式使用相同Bound ID的有問題iOS應用程式。經過深入研究後,我們發現Haima和其他第三方應用程式商店利用iOS程式碼簽章程序內的功能來達成資料繼承,從而完成其惡意行為。我們與Apple進行合作,並在iOS 10解決了這些問題,現在可以防止合法應用程式被造假版本蓋過。但是使用iOS 9.3.5或之前版本的設備仍可能受到影響,因此建議使用者要更新到iOS的最新版本。

 

潛在風險

不僅僅用來製造山寨版,這些漏洞也造成嚴重的風險,惡意分子可以針對合法應用程式來散布惡意軟體。詐騙者只需要建立跟正版應用程式具備相同Bundle ID的惡意程式,接著利用其熱門程度來誘騙使用者安裝他們的惡意軟體。企業所用的內部應用程式也一樣能夠透過相同Bundle ID來偽造、重新簽章和重新封裝。

對合法應用程式所造成的影響可能有很多種,取決應用程式如何控制自己的資料或如何實作其功能。許多合法應用程式用JavaScript來實作服務,其程式碼會自伺服器取回。利用這漏洞可以讓攻擊者用自己的伺服器連結替換掉原本的連結。讓他們能夠變更應用程式邏輯,接著控制應用程式的行為。

他們還可以修改資料來偽造網址,讓合法應用程式連到惡意服務來騙取個人身份資料,甚至直接竊取使用者的網路銀行帳號。還可以修改應用程式功能,例如替換應用程式開啟的網址來下載惡意軟體(在使用者「信任」憑證後執行)。也可以修改合法應用程式的廣告識別碼,將產生的廣告獲利轉給詐騙者。

 

假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)
圖1、假社群媒體應用程式(下方)顯示跟官方/正版程式使用相同的Bundle ID(上方)

Continue reading “假面攻擊(Masque Attack)利用iOS程式碼簽章漏洞,造假應用程式並繞過隱私防護  “

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。

此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。

只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。

先安裝正牌 iTunes 程式

這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。

圖 1:iTunes 下載提示訊息。

圖 2:下載來源為海馬的伺服器。

這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。

接著套用修補套件

安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件: Continue reading “iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為”

Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!

Yahoo坦承兩年前遭駭客入侵,至少5億用戶帳號被竊,許多Yahoo使用者聽從了官方建議變更了密碼。不過就如同零時差計畫(ZDI)的Simon Zuckerbraun所指出,光是換新的密碼是不夠的。為什麼?

password 密碼

 

如果你有一個Yahoo帳號,那就有機會收到帳號資料遭受攻擊者竊取的通知。你並不孤單。根據公開報導,超過5億筆的帳號受到2014年資料外洩事件的影響。雖然不知道為什麼會花Yahoo超過18個月的時間來通知人們,來自Yahoo資訊安全長Bod Lord的通知包含了變更密碼的建議。雖然這是對的建議,也是好的第一步,零時差專案(ZDI)研究員Simon Zuckerbraun發現單單這一步驟並不足夠來保護你的帳號。

變更密碼後, 使用Yahoo帳號的iPhone郵件應用程式仍可存取!

和許多人一樣,Simon收到帳號被列入外洩事件的通知。也和許多人一樣,Simon登錄自己的帳號並變更了密碼。然後,他開啟設定會使用Yahoo帳號的iPhone郵件應用程式,原本預計將會出現輸入新密碼的提示,但是有些驚訝的是,他發現並不需要。儘管他已經變更了Yahoo帳號的密碼,手機仍然可以存取。

根據調查,顯然地Yahoo簽發了永久憑證給設備。這個憑證不會過期,變更密碼也不會撤銷。換句話說,如果有人取得你的帳號並且設定在iOS郵件應用程式內,他們還是可以存取該帳號,即便是在變更密碼之後。更糟的是,你很可能不會發現有人仍然可以存取你的電子郵件。

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

Windows10Banner-540x90v5

 

 

Continue reading “Yahoo 爆發史上最大帳號被駭事件,專家:光是變更密碼並不足夠保護帳號安全!”

Siri 漏洞:Apple 個人助理會洩漏個人資料

 

iOS上的Siri讓日常工作變得更加容易;無論是詢問到最近加油站的路線或是保持與不斷成長社交媒體網路的聯繫。iOS使用者只要講出聯絡人姓名,手機就會將電話號碼和電子郵件地址帶出來。然而,便利是有代價的:個人資料。

iphone MOBILE 手機

如果我告訴你,只要30秒,就可以讓任何人從朋友開啟Siri功能的iOS設備上拿到你的姓名、電子郵件地址、電話號碼甚至是你的照片,不管手機有沒有上鎖呢?會擔心嗎?

iOS行動設備上的Siri可能被濫用的情境是會讓任何人使用語音辨識來取得設備上的資料,即便有設定密碼。在理想狀態下,密碼鎖定應該會防止任何對行動設備上所儲存資料的未經授權存取,就跟電腦上的密碼一樣。鎖定的設備不該洩漏所有者的身份和聯絡方式,以及所有者的朋友、家人和聯絡人。Siri可以繞過這些而在鎖定的行動設備上提供詳細資料及其他功能。

自從Siri出現之後,就已經有多個相關討論串出現在Apple支援論壇上。然而,我們想要強調安全性和隱私方面的風險,並讓我們的讀者能夠注意到。

 

Siri可以做什麼?

一旦任何人可以實際上拿到你的行動設備,就可以用語音辨識呼叫多種命令,包括可以存取名字、電話號碼、行事曆及其他更多功能。這裡是鎖定而有啟用Siri的iOS行動設備上可以使用的命令列表:

 

  • 「我的名字」 – 顯示並唸出手機上Siri所設定「我的資料」內的名字。
  • 「傳簡訊給某某某/號碼<訊息內容>」 – 用指定內容傳簡訊給指定的聯絡人或電話號碼
  • 「打電話給某某某/號碼」 – 打電話給指定的聯絡人或電話號碼
  • 「更新臉書狀態<訊息內容>」 – 更新手機上所設定Facebook帳號的動態訊息
  • 「我的位置在哪裡」 – 顯示地圖和唸出目前位置
  • 「<某姓>」 – 顯示所有該姓聯絡人的聯絡方式
  • 「顯示我的電子郵件地址」 – 顯示和唸出手機上Siri所設定「我的資料」內的電子郵件地址
  • 「在明天早上3點叫醒我」 – 設定指定時間的鬧鐘
  • 「取消早上3點的鬧鐘」 – 關閉指定時間的鬧鐘
  • 「建立<日期/時間>的事件/提醒/約會/預約」 – 建立行事曆
  • 「顯示<日期/時間>的行事曆」 – 顯示指定日期或時間內的行事曆
  • 「刪除<日期/時間>的事件/提醒/約會/預約」 – 刪除指定日期和時間的行事曆

 

下圖示範使用者如何利用Siri命令來取得資料和執行其他操作:

 

 

圖1-4、各種Siri命令

Continue reading “Siri 漏洞:Apple 個人助理會洩漏個人資料”

Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全

就在 XcodeGhost 攻擊事件爆發之後沒多久,緊接著就出現了一個名叫「YiSpecter」的最新惡意程式,專門感染 iOS 裝置。根據報導,此惡意程式可自行安裝在已越獄或未越獄的 iOS 裝置。YiSpecter 是第一個利用 Apple 非公開 API 漏洞的 iOS 惡意程式,駭客經由官方的 App Store 來進入 iOS 裝置 (不論裝置是否已越獄)。研究人員發現此惡意程式已經在外活躍將近 10 個月,絕大多數受感染的使用者都在中國和台灣。

[延伸閱讀:利用暗藏惡意程式的 Xcode 開發工具感染 iOS 應用程式]           

iphone 手機  

YiSpecter 利用了獨創的自我散播技巧。其蹤跡最早可追溯至 2014 年 11 月,此惡意程式的散布方式之一是偽裝成網路色情視訊串流程式。此外,它還會藉由下列方式來散布:攔截來自國內 ISP 的流量、離線安裝應用程式、一個 Windows 裝置的社群網路蠕蟲,以及經由社群推薦。此惡意程式利用企業憑證和非公開 API 來躲過 Apple 的應用程式審查流程。

此惡意程式一旦進入 iOS 裝置,就能繼續下載、安裝、啟動其他應用程式,此外還會取代現有的應用程式、攔截廣告、修改瀏覽器預設搜尋引擎,並且上傳裝置資訊到幕後操縱 (C&C) 伺服器。而且,研究人員更發現,即使是手動刪除該惡意程式,它也還會再自己出現。

根據 Apple 最近發表的聲明:

此問題只會影響使用舊版 iOS 並從非可靠來源下載了惡意程式的使用者。我們已在 iOS 8.4 當中解決了這個問題,同時也封鎖了散布此惡意程式的應用程式。我們鼓勵客戶應隨時更新到最新版的 iOS 系統來獲得最新的安全更新。此外,也鼓勵客戶務必僅從可靠來源 (如 App Store) 下載應用程式,並且留意下載時所出現的任何警告。Continue reading “Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全”

【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)

在 Apple 的嚴格把關之下,長久以來,iOS 的 App Store 應用程式商店一直被視為一個安全的應用程式來源。不過,這樣的美好世界已經不再,因為該商店被發現有眾多正常的應用程式竟然暗藏著惡意程式碼,也就是外界所稱的「XcodeGhost」(Xcode幽靈)。

iphone MOBILE 手機

XcodeGhost 到底是怎麼來的?Xcode 是 Apple 各平台通用的程式開發工具套件,然而,中國的開發人員要從官方網站下載這套工具卻有困難,因為檔案很大 (好幾GB),而且從中國連上 Apple 官方網站的速度又很慢。(對中國用戶來說,連上中國境內網站的速度遠遠超過連到國外。)因此,許多中國的 iOS 應用程式開發人員都並非從官方網站下載 Xcode 工具,而是從國內檔案分享網站下載別人

上傳的版本:

圖 1:分享 Xcode 的網站。

但問題來了,這些網路上分享的版本,被人偷偷換掉了原本的 CoreService (核心服務) 模組,加入了惡意程式碼。因此,每個利用這些工具製作出來的應用程式都自動包含了惡意程式碼。以下畫面抓圖顯示程式碼中被偷偷植入的惡意網址,而使用這些工具製作出來的程式就會連上這些惡意網址。第一張抓圖顯示的是被改過的 Xcode 6.2 版;第二張則是被改過的 6.4 版。被改過的 6.4 版還會試圖隱藏惡意網址,企圖蒙騙資安研究人員和資安廠商。(目前 Apple 所提供的最新版本是 Xcode 7,還有一個 7.1 Beta 測試版。)

 

圖 2:被改過的 Xcode 6.2。

 

圖 3:被改過的 Xcode 6.4。

受感染的應用程式

以下列舉一些暗藏 XcodeGhost 程式碼的應用程式。不過,由於這些「暗黑版」的 Xcode 在許多非官方網站上廣泛流傳,因此可能還有更多其他應用程式也遭到感染。請注意,截至本文撰寫為止,表中粗體字標示的應用程式仍可以在官方 App Store 上找到。

BundleID 版本 AppLabel
com.51zhangdan.cardbox 5.0.1 51卡保险箱
com.cloud1911.mslict 1.0.44 LifeSmart
cn.com.10jqka.StocksOpenClass 3.10.01 炒股公开课
com.xiaojukeji.didi 3.9.7 嘀嘀打车
com.xiaojukeji.didi 4.0.0 滴滴出行
com.xiaojukeji.dididache 2.9.3 滴滴司机
com.dayup11.LaiDianGuiShuDiFree 3.6.5 电话归属地助手
sniper.ChildSong 1.6 儿歌动画大全
com.rovio.scn.baba 2.1.1 愤怒的小鸟2
com.appjourney.fuqi 2.0.1 夫妻床头话
com.autonavi.amap 7.3.8 高德地图
com.stockradar.radar1 5.6 股票雷达
cn.com.10jqka.TheStockMarketHotSpots 2.40.01 股市热点
com.jianshu.Hugo 2.9.1 Hugo
com.wdj.eyepetizer 1.8.0 Eyepetizer
com.iflytek.recinbox 1.0.1083 录音宝
com.maramara.app 1.1.0 马拉马拉
com.intsig.camcard.lite 6.5.1 CamCard
com.octInn.br 6.6.0 BirthdayReminder
com.chinaunicom.mobilebusiness 3.2 手机营业厅
cn.12306.rails12306 2.1 铁路12306
cn.com.10jqka.IHexin 9.53.01 同花顺
cn.com.10jqka.IphoneIJiJin 4.20.01 同花顺爱基金
cn.com.gypsii.GyPSii.ITC 7.7.2 图钉
com.netease.videoHD 10019 网易公开课
com.netease.cloudmusic 2.8.3 网易云音乐
com.tencent.xin 6.2.5 微信
com.tencent.mt2 1.10.5 我叫MT 2
com.gemd.iting 4.3.8 喜马拉雅FM
com.xiachufang.recipe 48 下厨房
cn.com.10jqka.ThreeBoard 1.01.01 新三板
com.simiao-internet.yaodongli 1.12.0 药给力
com.gaeagame.cn.fff 1.1.0 自由之战

                        表 1:部分暗藏 XcodeGhost 程式碼的應用程式。

推播應用程式

面對輿論的壓力,XcodeGhost 作者已經寫信公開道歉,並且公開其原始程式碼。從原始碼中我們發現,它除了可能造成資料外洩之外,還可能從遠端推播 (Push) 應用程式。受害用戶很可能被引導到 App Store 中的某個應用程式。此外,XcodeGhost 也可用來向用戶發送通知,進而從事詐騙或網路釣魚之類的活動。
圖 4:XcodeGhost作者釋出的原始碼片段。

受害國家和地區

根據我們的監控資料顯示,中國是這起事件受害最嚴重的國家。不過,北美也遭受嚴重打擊。這一點並不太令人意外,因為許多受感染的應用程式也在中國以外地區發行。


圖 5:受害的國家。

趨勢科技已能偵測含有這類惡意程式碼的應用程式,識別名稱為:IOS_XcodeGhost.A。

原文出處:The XcodeGhost Plague – How Did It Happen?|作者:Ju Zhu (行動裝置威脅分析師)

 

 

 

 

540x90 line

 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

從 Apple 對惡意程式防護軟體採取嚴厲措施,看 iOS 安全問題

 

據報,Apple 為了避免目前已發行六個多月的 iOS 8 (該公司宣稱為 iOS 有史以來最重大的一個版本) 給使用者一種含有可攻擊漏洞的印象,目前正在對 iOS App Store 上的病毒/惡意程式防護軟體採取嚴厲措施。

[延伸閱讀:iOS 8 最新安全功能 (The New Security Features of iOS 8)]

最近,一個知名的 iOS 電子郵件及雲端掃瞄 App 遭到 App Store 下架,使得原先希望自己轉寄給非 iOS 用戶的檔案不含惡意程式的該軟體使用者因而受到影響。Apple 的理由是,該軟體在 App Store 上的說明有誤導之嫌,可能讓客戶以為 iOS 8 產品含有漏洞。該軟體的代表指出 Apple 可能計劃將 iOS App Store 上的防毒和惡意程式防護軟體類別完全剔除。

我們目前仍未見到任何成功攻擊 iOS 8 平台的威脅,但這並不代表能夠假設該平台未來不會遭到攻擊或出現漏洞。基於下列理由,iOS 裝置用戶應該隨時保持警戒:

  • 封閉的生態體系不是應用程式安全的保證

去年,有數百萬的 iOS 用戶遭到 Masque 和 Wirelurker 的攻擊,不論越獄或無越獄的裝置都無法倖免。值得注意的是,Masque 和 Wirelurker 是透過企業內配發機制 (provisioning) 來攻擊無越獄的 iOS 裝置Continue reading “從 Apple 對惡意程式防護軟體採取嚴厲措施,看 iOS 安全問題”

iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!

趨勢科技持續地研究棋兵風暴行動(Operation Pawn Storm)時,我們發現一枚有趣的毒棋兵 – 一個特別設計給iOS設備的間諜軟體。針對Apple使用者的間諜軟體本身就很值得注意,再加上這個間諜軟體跟APT目標攻擊有關。

apple3

棋兵風暴行動(Operation Pawn Storm)的背景資訊

棋兵風暴行動(Operation Pawn Storm)是個活躍的經濟和政治間諜行動,針對了各種機構,像是軍事、政府、國防產業及媒體。

棋兵風暴行動(Operation Pawn Storm)背後的惡意份子往往會先出動許多棋兵以期能夠接近自己實際想要的目標。當他們終於成功感染一個主要目標後,他們可能會決定更進一步:進階間諜惡意軟體。

iOS惡意軟體也出現在這些進階惡意軟體中。我們相信iOS惡意軟體被安裝在已被駭的系統上,這跟我們在微軟Windows系統上所發現的SEDNIT惡意軟體很相似。

趨勢科技在棋兵風暴行動(Operation Pawn Storm)發現兩個惡意iOS應用程式。一個稱為 XAgent(偵測為IOS_XAGENT.A),另一個則使用合法 iOS 遊戲軟體的名稱 – MadCap(偵測為IOS_XAGENT.B)。經過分析,我們的結論是這兩者都是跟SEDNIT有關的應用程式。

SEDNIT相關間諜軟體的目的顯然的是要竊取個人資料,錄音,截圖,並將它們傳送到遠端的命令和控制(C&C)伺服器。在本文發表時,此iOS惡意軟體所連絡的C&C伺服器仍然存在。

XAgent分析

XAgent應用程式是全功能的惡意軟體。安裝在 iOS7 後,應用程式的圖示會被隱藏,並且會立刻在背景執行。當我們試圖殺死程序來終止它時,它幾乎會馬上重新啟動。

安裝惡意軟體到iOS 8的設備上則會出現不同的結果。圖示不會被隱藏,並且它也不能自動重新啟動。這顯示惡意軟體是在2014年9月推出iOS 8前所設計。

資料竊取能力

該應用程式目的在收集iOS設備上各種類型的資料。它能夠執行以下動作:

  • 收集簡訊
  • 取得連絡人列表
  • 取得圖片
  • 收集地理位置資料
  • 開始錄音
  • 取得已安裝應用程式列表
  • 取得程序列表
  • 取得無線網路狀態

Continue reading “iOS 新間諜軟體,偷照片,窺簡訊,秘密錄音….!”

數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊

iOS 裝置已成為一項名為 Pawn Storm 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最新目標,這是一項有組織的政治、經濟間諜行動,專門鎖定美國的軍方、大使館及國防承包商人員。趨勢科技研究人員發現兩個專門針對 iOS 7 平台的間諜程式 (目前活躍中的 iOS 裝置約有四分之一仍在使用 iOS 7)。就數量而言,Apple 光去年就賣出了 1.3 億台 iOS 裝置,因此 Pawn Storm 的潛在目標至少在千萬之譜。

 

[延伸閱讀:深入探討 Pawn Storm 間諜攻擊行動 (An In-depth Look at Pawn Storm Espionage Attacks)]

趨勢科技研究人員發現的這兩個間諜程式可暗中監控 iOS 裝置,其行為特徵與 SEDNIT 惡意程式相似,因此可斷定是 Pawn Storm 攻擊行動所有。依據過去經驗,Pawn Storm 的所有攻擊階段當中都會用到 SEDNIT 或 Sofacy 惡意程式,此外也用於該行動的魚叉式網路釣魚郵件當中。

這兩個惡意程式都是 XAgent 間諜程式的變種,不過,只有其中一個會假冒正牌的 MadCap (瘋狂花栗鼠) 遊戲。再者,假冒的 MadCap 遊戲據稱只能在越獄的裝置上運作。

這些 XAgent 應用程式會蒐集裝置上的簡訊、通訊錄、照片、定位資料、已安裝的應用程式清單、執行程序清單以及 Wi-Fi 的狀態。最重要的是,XAgent 應用程式可在使用者不知情的狀況下暗中錄音。也正因如此,任何感染這類程式的 iOS 裝置都將變成一個完美的竊聽工具,而且大多數人在開會或與人交談的時候都會隨身攜帶著手機,因此是一種非常好的竊聽方法。 Continue reading “數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊”

近七成行動裝置威脅屬於越權廣告程式

2014 下半年重大行動裝置威脅 

隨著使用者對行動裝置的接受度越來越高,行動裝置威脅也隨之而來。 2014 年底網路犯罪集團利用各種方式,例如攻擊熱門平台、發掘裝置漏洞、開發更精良的假冒 App 程式等等,來竊取行動裝置上的個人資料,並直接拿到地下市場販賣。

行動裝置威脅正以飛快的速度朝精密化發展,惡意程式作者正是利用一般大眾不知如何正確設定行動裝置以及不知該從正常安全管道下載 App 程式的弱點。不僅如此,大多數的使用者對平台的安全建議也視若無睹,這就是為何許多人會為了獲得進階功能或是貪圖免費程式而破解行動裝置保護 (如越獄或 root)。

2014 上半年,我們見到非重複性行動裝置惡意及高風險 App 程式樣本數量正式突破二百萬大關,而且數量還在不斷增加,這距離上次突破一百萬大關僅僅六個月的時間。此外,我們也見到行動裝置惡意程式正逐漸演出成更精密的變種,例如數位貨幣採礦惡意程式 ANDROIDOS_KAGECOIN 和行動裝置勒索程式 ANDROIDOS_LOCKER.A

[延伸閱讀:2014 上半年行動裝置資安情勢總評 (The Mobile Landscape Roundup: 1H 2014)]

這份報告詳述 2014 下半年的情勢發展,包括重大的行動裝置威脅及趨勢。

惡意及高風險的 App 程式數量現已達到 437 萬

行動裝置惡意程式數量在 2014 下半年又翻了一倍以上,距離上次突破二萬大關僅僅六個月的時間。現在,網路上惡意及高風險的 App 程式總數已達到 437 萬。這意味著,從該年上半年結束至今已成長了大約 68%,也就是 260萬。

2014 年惡意及高風險的 App 程式成長趨勢

若從這幾百萬當中挑出那些明顯惡意的 App 程式,我們發現它們絕大多數都是行動裝置惡意程式家族排行榜的成員:

2014 年行動裝置惡意程式家族排行榜

若就它們對行動裝置的影響來分類,我們發現大約 69% 的行動裝置威脅都屬於越權廣告程式。越權廣告程式是指那些拼命顯示廣告而讓使用者無法專心好好使用裝置的程式。其次是高費率服務盜用程式 (PSA),占惡意及高風險 App 程式的 24% 左右。PSA 會在背後偷用一些高費率服務,讓使用者的手機帳單無故飆高。

 


ADware
2014 年主要行動裝置威脅類型分布比例

另外,以下為 2014 下半年越權廣告程式家族排行榜: Continue reading “近七成行動裝置威脅屬於越權廣告程式”