200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事

「你想抓噴火龍嗎?」
「好啊!」
「那邊有1隻喔!你想跟我一起過去嗎?」

影片中的小朋友真的眼中只有噴火龍,完全沒有警覺心的跟陌生人前往危險的地方

如果你家中也有瘋抓寶可夢的孩子,千萬別像影片中的爸爸一樣,孩子三更半夜溜到黑暗的公園抓寶物,甚至被陌生人騙走都還不知道啊!


圖片來源:BlurryMe / Shutterstock.com

 

任天堂推出以其知名動畫為背景的《Pokémon Go》手機遊戲。此免費遊戲獨特之處在於玩家必須親自前往真實世界的不同地點來進行遊戲以獲得獎勵。玩家可在遊戲中建立一個代表自己的虛擬人偶,如同遊戲中的角色一樣。不同的是,遊戲中的角色會投射在玩家手機所拍到的真實世界上。這是第一個適合普羅大眾、同時廣受喜愛的擴增實境應用程式。

我自己也註冊了一個帳號,並且在家裡及後院測試了一下,而我九歲大的孩子一直在背後躍躍欲試地看著我玩。能夠透過手機相機在遊戲當中看到真實世界,並且看到家中沙發上頭冒出一個遊戲角色,確實是一種很酷的經驗。在遊戲當中,我必須拋出所謂的神奇寶貝球來收服這些遊戲中的角色。其實,我比較希望這些神奇寶貝不會在我收服它們之後消失。

我原本想說只要在自己家中或附近晃晃就好,但四處閒晃了 20 分鐘之後 (還要試著避免踢到桌腳或門擋),我發現這遊戲在有限的空間內沒什麼好玩的。最後,我因為開始覺得無聊就停止再玩

新聞報導大多圍繞在人們像旅鼠般的集體遷移行為,或是任天堂的股價,或是這類遊戲所造成的危險,例如,它會帶您到一些不安全的地點、蒐集您的大量個人資料 (因為它必須隨時知道您的所在地點) 等等。

我個人覺得您要自己試試看之後再下判斷。同時,我也強烈建議在您讓孩子到市區 (或更遠的地方) 抓寶之前,您自己應該先試玩看看 (或者和孩子一起試玩)。儘管這款遊戲看似簡單而有趣,但的確存在著一些您必須知道的風險

以下是身為家長的您必須知道的六件事: Continue reading “小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事”

假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增

不要怪自己眼睛業障深,一直分辨不出假的《Pokemon Go(精靈寶可夢)》差別,因為網路詐騙份子總是跟你一樣喜歡追求風靡全球的事物。該遊戲在 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。
還有Pokemon Go 攻略與破解安裝類的冒牌應用程式,暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。或是宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會幫你發送一封訂閱簡訊到某個昂貴的服務。

Snippets-FB

 

最近一夕爆紅的《Pokemon GO》手機遊戲目前雖然只在少數特定國家開放,但卻早已擄獲數百萬玩家。不僅如此,就像任何其他風靡全球的事物一樣,網路犯罪集團早已準備加入這波熱潮。

該遊戲在 7 月 6 日正式推出之後,沒過多久,非官方檔案分享網站上便立即出現一個冒牌版本,此版本會在 Android 手機上安裝一個遠端存取木馬程式。還不只這樣,資安研究人員更在 Google Play 商店上發現了一個叫做「Pokemon GO Ultimate」的冒牌鎖定螢幕程式。當此應用程式啟動時,會刻意將手機螢幕鎖住來強迫使用者重新開機。重新開機之後,該程式就會在背景暗中執行,並且偷偷點選網路上的色情廣告,讓使用者毫不知情。 從 Google Play 下載該程式時,其實下載到的並非「Pokemon GO Ultimate」程式,而是一個叫做「PI Network」的程式,而且安裝完畢的程式圖示也跟「Pokemon GO Ultimate」不同。

[延伸閱讀:熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本]

應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊。
應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊(看更多…)

 

其實,應用程式商店上 Pokemon 相關的威脅還不僅止於此。Google Play 已經出現很多「Guide and Cheats for Pokemon GO」(Pokemon Go 攻略與破解) 和「Install Pokemon GO」(安裝 Pokemon GO) 之類的冒牌應用程式,全都暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。例如,其中一個就宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會發送一封訂閱簡訊到某個昂貴的服務。

Continue reading “假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增”

DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。 Continue reading “DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!”

熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本

七月iOS 和 Android 最新手機遊戲 Pokemon Go (精靈寶可夢) 在真實世界投下了一顆震撼彈。

Pokemon Go 是神奇寶貝系列最新的熱門遊戲。Pokemon Go 遊戲的目標就是「Gotta catch ‘em all」(必須將它們全部收服),這一點玩家須靠手機和擴增實境技術在真實世界中達成。Pokémon Go 會利用手機的 GPS 定位並搭配 Google 地圖在真實世界的某些地點放置一些神奇寶貝供您透過手機搜尋。一旦您所在位置附近有神奇寶貝出沒,您就可以利用手機的相機來查看神奇寶貝,然後將它收服。此功能必須使用手機來尋找神奇寶貝,再藉由手機的照相功能讓您在周遭的環境上看到神奇寶貝。接著,您要在螢幕上投出一個神奇寶貝球來收服神奇寶貝並獲得經驗點數。

除此之外,Pokémon Go 還會指引使用者帶著神奇寶貝到真實世界的某些地點去找神奇寶貝競技場 (Gym),好讓神奇寶貝在此進行戰鬥訓練及升級。

假使去除了真實世界的元素,基本上這遊戲其實並無真正創新之處。Pokémon Go 結合擴增實境在真實世界進行遊戲的方式,可說是獨創而前所未見。不過,也讓我們見到擴增實境遊戲一些始料未及的風險。

這些始料未及風險就是真實的人身傷害。Pokémon Go 遊戲在上市的幾天之後即發生了多起武裝搶劫事件,歹徒利用遊戲來尋找及引誘受害者。此外,還有一些瘋狂玩家為了尋找和收服神奇寶貝竟然私闖民宅。美國更出現有玩家為了抓神奇寶貝而私闖民宅並且遭主人打傷的案例。還有些玩家因為玩得太過忘我、未注意到周遭情況而受傷或死亡。

因為遊戲本身相當有趣,就像任何電玩遊戲一樣,您很容易太過著迷,而且這款遊戲又需要全神貫注。是的,遊戲在一開始都會特別警告您要小心,但很快就會被遺忘。

App Store 和 Google Play 市集上源源不絕的新遊戲,可說是行動市場不斷成長的一股動力。不過,手機遊戲的不斷成長,也讓這些遊戲成為網路犯罪集團最佳的攻擊途徑之一。Pokemon Go 這款利用擴增實境技術的最新遊戲讓全球粉絲為之瘋狂。不幸的是,網路犯罪集團很快就盯上這股熱潮,遭到篡改的冒牌 Pokemon Go 應用程式,已開始在網路上流傳。冒牌版本裡頭暗藏著一個名為 DroidJack 的 RAT 遠端存取木馬程式 (趨勢科技命名為 AndroidOS_SANRAT.A)。此惡意版本已於 7 月 7 日上傳至非官方檔案分享網站 (離該遊戲在美國、澳洲和紐西蘭正式上市僅僅不到 72 小時)。

[延伸閱讀:數字會說話:遊戲玩家所面臨的危險]

惡意版本的目標並非美國、澳洲和紐西蘭的玩家,而是那些急著想要嘗鮮、卻位於遊戲尚未正式發行地區的玩家,他們會從非官方商店下載該遊戲並自行安裝。這個遭到篡改的遊戲,基本上可讓駭客完全掌控受害者的手機。此惡意程式可取得 Android 裝置所有主要功能的權限,包括存取、修改及執行各種功能:電話、簡訊、通訊錄、相機、錄音機,以及啟用或停用 Wi-Fi 連線。 Continue reading “熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本”

Google Play 上的兩款遊戲可將 Android 裝置解鎖

圖 1:Google Play 上的 RetroTetris 惡意遊戲。

Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話,那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起,而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris,我們已將問題通報給 Google Play 的資安團隊,目前正在等候回音。

RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計,它大約感染了 500 至 1,000 台 Android 裝置,絕大多數位於中國。

它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料,以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些):

  • Appszoom:http://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
  • 豌豆荚:http://www.{BLOCKED}jia.com/apps/com.antdao.tetris
  • 应用宝:http://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
  • 360Market:http://{BLOCKED}u.360.cn/detail/index/soft_id/2911263
圖 2:從網路上安裝惡意 App 的程式碼。

這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件,視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。

 

Rootkit CVE 漏洞編號
FramaRoot CVE-2013-6282
TowelRoot CVE-2014-3153
GiefRoot CVE-2014-7911 和 CVE-2014-4322
PingPongRoot CVE-2015-3636

表 1:RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞

圖 3:惡意工具與惡意遊戲的程式碼有諸多相似之處。

經過進一步的分析,我們找到了一個與 RetroTetris 相關的網站 (shuame.com),裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像,因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。

Brain Test
Brain Test 假冒成一個腦力測試的遊戲,包括讓您的「左腦」和「右腦」互相比較,您必須在一分鐘內解出問題。聽起來是不是很有挑戰性?這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱:com.mile.brain) 時的誘餌,隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架,但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱:com.zmhitlte.brain),這次使用的是百度包裝程式。此程式又被 Google 逮到,並於六天之後,也就是 9 月 16 日將它下架。不過,作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成:com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置,就會再下載並安裝其他惡意應用程式,並且會將裝置解鎖 (root),讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信,即使這個惡意程式已經從 Google Play 下架,但應該還是有些存在於受害者的裝置中。

圖 4:Brain Test 惡意遊戲在 Android 裝置上的圖示。

Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外,我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站,以下列舉幾個範例:
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms

解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎,不論 Google Play 商店和非官方應用程式商店都一樣。此外,您也可以安裝一套行動裝置防護軟體,如趨勢科技行動安全防護 (TMMS) ,就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼:
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式:
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A

原文出處:Two Games Released in Google Play Can Root Android Devices作者: Wish Wu 和 Ecular Xu

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

 

圖1、有MDash SDK的應用程式範例

 

圖2、MDash SDK原始碼結構

Continue reading “< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK”

假 Android漏洞「掃描程式」暗藏玄機

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

Continue reading “假 Android漏洞「掃描程式」暗藏玄機”

愛到卡慘死! FB 流傳「誰是你2015年情人?」裝萌駭人!!揭開八種埋伏網路的危險愛情遊戲

關於愛情,你會保護自己免於受傷,但你是用什麼來保護你的線上個人資料呢?

bad site related to love-FB

 

在網路上,愛情這件事可能並不致命,但它絕對可以在很多方面影響你。犯罪份子利用各種愛情或約會相關的題材引誘無辜的使用者。請注意這八個可能毀掉你的浪漫幻想的網路威脅:

1.FB 遊戲訊息: 「誰會是你2015年的情人?」誘來駭人

開心應用程式是個危險的網站,它會吸引Facebook使用者來玩遊戲,像是讓你發現自己長得像哪位名人。在這次的情人節,它會鼓勵使用者點入連結來玩找出「誰會是你2015年的情人?」的遊戲,但是當你點入連結後,它實際上會要求你提供個人資料或下載有害檔案到你的電腦上。

2.FB尋找愛情遊戲應用程式,會掏空你的個資

你可能看過現在流傳在Facebook上的訊息 – FB遊戲應用程式連結。在檢視全球統計數據時,趨勢科技看到情人節連結和圖片導向該網頁。一旦進到該網頁,你會被要求完成一份問卷讓你可以下載Facebook遊戲,但其實你是憑空交出你的認證資訊和其他個人資料。

3.FB 散播的「我的2015情人節」裝萌欺騙感情

可愛是種病毒是個會透過Facebook 或 Pinterest 垃圾訊息散播的網站。它現在使用標示「我的2015情人節」的圖片來鼓勵使用者上去。一旦連上,它會要求你點入邀請連結,這可能會導致惡意軟體下載到電腦上。

 


4.免費約會網站裡的美麗俄羅斯女孩 Continue reading “愛到卡慘死! FB 流傳「誰是你2015年情人?」裝萌駭人!!揭開八種埋伏網路的危險愛情遊戲”