Google Play 再現加密貨幣採礦惡意程式

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷,但對於受害裝置的使用者來說,壞處卻是很明顯的:裝置耗損更快、電池壽命縮短、手機效能變慢。

最近,趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為:ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前,趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力

ANDROIDOS_JSMINER:利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現,這就是:ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本,其中一個是使用者誦經禱告幫手,另一個是提供各類折扣優惠資訊。

圖 1 和 2:Google Play 商店上的兩個 JSMINER  惡意程式樣本。

不過這兩個惡意程式樣本在啟動之後都會載入 Coinhive 所提供的一個 JavaScript 程式庫,隨即便開始用駭客的網站金鑰來開採數位加密貨幣。

圖 3:應用程式啟動之後開始採礦的程式碼。

這個 JavaScript 程式碼會在應用程式的網頁視窗中執行,但使用者卻不會看到,因為該視窗預設會以隱形模式執行。 Continue reading “Google Play 再現加密貨幣採礦惡意程式”

Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢,還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》,宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式,宣稱可讓玩家自訂其角色造型。不過,這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格:GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示,此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著,C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後,應用程式會再連上歹徒指定的另一個伺服器,該伺服器會提供一份廣告清單及相關資料 (如:廣告類型、螢幕大小)。然後,應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化,就可以用來攻擊網路相關的漏洞。而且,憑著 Sockbot 挾持裝置的能力,被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。 Continue reading “Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊”

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 Continue reading “BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證”

Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

Continue reading “Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制”

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 Continue reading “Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次”

200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式

 

行動惡意軟體對企業造成破壞性影響變得越來越加普遍,因為行動設備已經越加成為靈活存取和管理資料的偏好平台趨勢科技最近發現了200個Android應用程式帶有MilkyDoor後門程式(趨勢科技偵測為ANDROIDOS_MILKYDOOR.A), 其中一個在Google Play上已經有50萬到100萬的安裝數量。

MilkyDoor跟之前對企業有不良影響的Android惡意軟體家族DressCode相似,都會利用SOCKS協定代理程式來取得對內部網路的連線。在使用者不知情下,MilkyDoor會透過SOCKS代理程式進行偵察並存取企業內的漏洞。

雖然MilkyDoor看起來像是DressCode的接班人,不過它卻增加了一些惡意技巧,其中包括能夠繞過安全限制的多種隱蔽做法。比如利用常用端口22,來經由Secure Shell(SSH)通道使用遠端端口轉發。由於利用SSH通道讓惡意軟體可以加密惡意流量和有效載荷(payload),使得偵測惡意軟體變得加棘手。

趨勢科技發現這些木馬化應用程式會偽裝成娛樂性質的應用程式,從風格指南和兒童圖書到塗鴉應用程式。我們推測這些都是網路犯罪分子將正常應用程式重新包裝加入木馬程式,再透過Google Play散播,利用原版的知名度來吸引受害者。

 

對企業的影響

MilkyDoor會對企業帶來較大的威脅,因為它被設計來攻擊企業的內部網路,私人伺服器,最終是企業資產和資料。MilkyDoor建立SSH通道的作法對組織網路帶來安全上的挑戰,特別是整合BYOD設備的網路。它的隱身之道是受感染應用程式本身沒有敏感權限,並且使用正常或看似良性的網路通訊存在於設備中。

結果也相當顯著。MilkyDoor可以隱密地讓攻擊者直接連進一家企業內部網路的各種服務,從Web和FTP到SMTP。接著可以取得內部IP地址來進行掃描,以找出可利用(和有漏洞)的伺服器。最近出現一連串勒索遭受入侵的MongoDB和ElasticSearch資料庫,就是一個例子。由於這些伺服器是公開的,但是其內部資料庫缺乏認證機制而讓情況變嚴重。

圖1:Google Play上帶有MilkyDoor應用程式的例子 Continue reading “200個Android應用程式夾帶影響企業的MilkyDoor後門程式,包含下載次數達50萬到100萬的應用程式”

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事

「你想抓噴火龍嗎?」
「好啊!」
「那邊有1隻喔!你想跟我一起過去嗎?」

影片中的小朋友真的眼中只有噴火龍,完全沒有警覺心的跟陌生人前往危險的地方

如果你家中也有瘋抓寶可夢的孩子,千萬別像影片中的爸爸一樣,孩子三更半夜溜到黑暗的公園抓寶物,甚至被陌生人騙走都還不知道啊!


圖片來源:BlurryMe / Shutterstock.com

 

任天堂推出以其知名動畫為背景的《Pokémon Go》手機遊戲。此免費遊戲獨特之處在於玩家必須親自前往真實世界的不同地點來進行遊戲以獲得獎勵。玩家可在遊戲中建立一個代表自己的虛擬人偶,如同遊戲中的角色一樣。不同的是,遊戲中的角色會投射在玩家手機所拍到的真實世界上。這是第一個適合普羅大眾、同時廣受喜愛的擴增實境應用程式。

我自己也註冊了一個帳號,並且在家裡及後院測試了一下,而我九歲大的孩子一直在背後躍躍欲試地看著我玩。能夠透過手機相機在遊戲當中看到真實世界,並且看到家中沙發上頭冒出一個遊戲角色,確實是一種很酷的經驗。在遊戲當中,我必須拋出所謂的神奇寶貝球來收服這些遊戲中的角色。其實,我比較希望這些神奇寶貝不會在我收服它們之後消失。

我原本想說只要在自己家中或附近晃晃就好,但四處閒晃了 20 分鐘之後 (還要試著避免踢到桌腳或門擋),我發現這遊戲在有限的空間內沒什麼好玩的。最後,我因為開始覺得無聊就停止再玩

新聞報導大多圍繞在人們像旅鼠般的集體遷移行為,或是任天堂的股價,或是這類遊戲所造成的危險,例如,它會帶您到一些不安全的地點、蒐集您的大量個人資料 (因為它必須隨時知道您的所在地點) 等等。

我個人覺得您要自己試試看之後再下判斷。同時,我也強烈建議在您讓孩子到市區 (或更遠的地方) 抓寶之前,您自己應該先試玩看看 (或者和孩子一起試玩)。儘管這款遊戲看似簡單而有趣,但的確存在著一些您必須知道的風險

以下是身為家長的您必須知道的六件事: Continue reading “小孩瘋抓寶,爸媽怎麼看?關於《Pokémon Go》家長應該知道的六件事”

假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增

不要怪自己眼睛業障深,一直分辨不出假的《Pokemon Go(精靈寶可夢)》差別,因為網路詐騙份子總是跟你一樣喜歡追求風靡全球的事物。該遊戲在 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。
還有Pokemon Go 攻略與破解安裝類的冒牌應用程式,暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。或是宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會幫你發送一封訂閱簡訊到某個昂貴的服務。

Snippets-FB

 

最近一夕爆紅的《Pokemon GO》手機遊戲目前雖然只在少數特定國家開放,但卻早已擄獲數百萬玩家。不僅如此,就像任何其他風靡全球的事物一樣,網路犯罪集團早已準備加入這波熱潮。

該遊戲在 7 月 6 日正式推出之後,沒過多久,非官方檔案分享網站上便立即出現一個冒牌版本,此版本會在 Android 手機上安裝一個遠端存取木馬程式。還不只這樣,資安研究人員更在 Google Play 商店上發現了一個叫做「Pokemon GO Ultimate」的冒牌鎖定螢幕程式。當此應用程式啟動時,會刻意將手機螢幕鎖住來強迫使用者重新開機。重新開機之後,該程式就會在背景暗中執行,並且偷偷點選網路上的色情廣告,讓使用者毫不知情。 從 Google Play 下載該程式時,其實下載到的並非「Pokemon GO Ultimate」程式,而是一個叫做「PI Network」的程式,而且安裝完畢的程式圖示也跟「Pokemon GO Ultimate」不同。

[延伸閱讀:熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本]

應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊。
應用程式宣稱可將資料帶入《Pokémon Go》伺服器當中 (左)。按下「Generate」 (產生) 按鈕之後,應用程式會顯示一些似乎正在運作的資訊(看更多…)

 

其實,應用程式商店上 Pokemon 相關的威脅還不僅止於此。Google Play 已經出現很多「Guide and Cheats for Pokemon GO」(Pokemon Go 攻略與破解) 和「Install Pokemon GO」(安裝 Pokemon GO) 之類的冒牌應用程式,全都暗藏著惡意的彈出視窗或廣告,會讓使用者意外訂購一些昂貴的非必要服務。例如,其中一個就宣稱使用者的手機感染了病毒必須加以清除,但事實上,使用者一旦點選了它所提供的連結,就會發送一封訂閱簡訊到某個昂貴的服務。

Continue reading “假的《Pokemon Go(精靈寶可夢)》偷偷幫你點色情廣告,亂訂閱服務,讓你手機帳單暴增”

DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。 Continue reading “DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!”