煩人的廣告程式存在已久,但至今仍無消退的跡象。最近趨勢科技發現了一個相當活躍的廣告程式家族 (趨勢科技命名為:AndroidOS_HidenAd) 會假冒成 85 款不同的應用程式,包括遊戲、電視頻道、遙控器等等應用程式在 Google Play 商店上散布。這款廣告程式會顯示全螢幕廣告,並且會自我隱藏,在背後持續執行,並暗中監控行動裝置螢幕解鎖功能。這 85 款冒牌應用程式在全球共累積了 900 萬次下載。Google 在收到我們通報並進行確認之後,也火速將這些應用程式從 Google Play 商店下架。
圖 1: Google Play 上一些由廣告程式假冒的應用程式。
其中有一款名為「Easy Universal TV Remote」(簡易萬用電視遙控器) 的應用程式,宣稱可以讓使用者透過手機來遙控電視,該程式是這 85 款應用程式當中累積下載次數最高的應用程式。
圖 2:Easy Universal TV Remote 應用程式資訊畫面。 繼續閱讀
偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。
有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。
Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。
Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一。
假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。
圖1、該應用程式聲稱它是行動認證應用程式
趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中,有許多是早在 2017 年 4 月就已上架,而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為:ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中,有許多都是採用越南文,就連它們在 Google Play 上的說明也是。
該程式幕後操縱 (C&C) 伺服器的網址也位於越南:mspace.com.vn。從這一點以及大量使用越南文來看,很可能意味著這些應用程式來自越南,例如,GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南,就會預設使用英文。
利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者
這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的:社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者,這一點與我們偵測到的 GhostTeam 行為吻合。根據報導,印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家,所以也因此成為 GhostTeam 肆虐最嚴重的國家。
失竊的帳號很可能將被組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式
雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動,但這一點應該是無庸置疑的事。因為,就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路),這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式,或者組成社群網路殭屍大軍,大量散發假新聞或數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊,因此在地下網路上算是常態商品。
圖 1:GhostTeam 肆虐最嚴重的國家。
除此之外,應用程式當中還有一項有關作者的線索:該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。
圖 2:會暗中竊取 Facebook 帳號的應用程式圖示。 繼續閱讀
2017 年 12 月初,趨勢科技在 Google Play 官方應用程式商店上總共發現了 36 個會出現不當行為的應用程式。這些應用程式皆有著貌似安全軟體/資安工具的應用程式名字,例如:Security Defender、Security Keeper、Smart Security、Advanced Boost 等等。此外更宣稱具備各種實用功能:掃瞄、清理系統、節省電力、幫 CPU 降溫、鎖住應用程式,以及提供訊息安全、WiFi 安全等等。
應用程式一旦執行之後,使用者就會看到一大堆安全警告、電量過低等通知及緊緊相隨的廣告訊息。例如,當使用者在安裝其它應用程式時,它會立即警告使用者該程式疑似惡意程式。或者,使用者可能會看到系統浪費了 10.0 GB 的空間,提醒使用者採取某種行動。在核對過原始程式碼之後,我們發現這些安全警告的其實都是假的,其目的是背後暗中蒐集使用者的資料、追蹤使用者的定位資訊,並大賺廣告財。
惡意應用程式會將使用者個人資料、已安裝的應用程式,以及附件檔案、使用者操作資訊、觸發的事件等資訊傳送至遠端伺服器。除此之外,還會蒐集 Android ID、網路卡實體位址 (MAC)、IMSI (行動電信業者識別資料)、作業系統資訊、裝置品牌與型號、裝置詳細資訊 (螢幕大小和畫素密度)、語言、地理位置資訊以及裝置已安裝應用程式。
要確保行動裝置安全並保護珍貴資料,使用者可採取以下五個基本動作:
