Google play - 資安趨勢部落格

Google Play 再現加密貨幣採礦惡意程式

2017 年 11 月 04 日2017 年 11 月 06 日趨勢科技 TrendMicro

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷，但對於受害裝置的使用者來說，壞處卻是很明顯的：裝置耗損更快、電池壽命縮短、手機效能變慢。

最近，趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為：ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前，趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力。

ANDROIDOS_JSMINER：利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現，這就是：ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本，其中一個是使用者誦經禱告幫手，另一個是提供各類折扣優惠資訊。

圖 1 和 2：Google Play 商店上的兩個 JSMINER 惡意程式樣本。

不過這兩個惡意程式樣本在啟動之後都會載入 Coinhive 所提供的一個 JavaScript 程式庫，隨即便開始用駭客的網站金鑰來開採數位加密貨幣。

圖 3：應用程式啟動之後開始採礦的程式碼。

這個 JavaScript 程式碼會在應用程式的網頁視窗中執行，但使用者卻不會看到，因為該視窗預設會以隱形模式執行。繼續閱讀

Google Play 再現惡意程式，Sockbot 可利用遭感染手機發動 DDoS 攻擊

2017 年 10 月 24 日2017 年 10 月 24 日趨勢科技 TrendMicro

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢，還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》，宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式，宣稱可讓玩家自訂其角色造型。不過，這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格：GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示，此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著，C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後，應用程式會再連上歹徒指定的另一個伺服器，該伺服器會提供一份廣告清單及相關資料 (如：廣告類型、螢幕大小)。然後，應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化，就可以用來攻擊網路相關的漏洞。而且，憑著 Sockbot 挾持裝置的能力，被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。繼續閱讀

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

2017 年 09 月 21 日2020 年 06 月 11 日趨勢科技 TrendMicro

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導，它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險，是因為它會偽裝正常的銀行應用程式，將自己的網頁覆蓋在正常的銀行應用程式操作介面上，進而騙取使用者的帳號密碼。此外，BankBot 還能攔截手機簡訊，因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中，Bankbot 一直偽裝成正常的應用程式到處散布，有些甚至在熱門應用程式商店上架。今年 4 月和 7 月，Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式，總數超過 20 個以上。

最近，趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式，其中有四個假冒成工具軟體。有兩個被立即下架，其他兩個則待得久一點，因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外，被假冒的應用程式數量也從 150 個增加到 160 個，新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作：

執行環境必須是真實的裝置 (而非模擬器)
裝置所在位置不能在獨立國協 (CIS) 國家境內
手機上原本就已安裝它所要假冒的應用程式

將山寨網頁覆蓋在正常銀行應用程式上方，以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時，它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式，就會試圖連上幕後操縱 (C&C) 伺服器，然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著，C&C 伺服器會傳送一個網址給 BankBot，好讓它下載一組程式庫，內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方，這樣就能攔截使用者所輸入的帳號密碼。繼續閱讀

Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

2017 年 08 月 23 日2017 年 08 月 22 日趨勢科技 TrendMicro

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker（ANDROIDOS_GHOSTCLICKER.AXM），其中一個“阿拉丁冒險世界（Aladdin’s Adventure’s World）”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括：休閒遊戲、設備效能工具（如清理工具和加速工具）和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架，到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務（GMS，Google最熱門應用程式和應用程式介面（API）組合）,也會隱藏在Facebook廣告的軟體開發套件（SDK）。將自己嵌入到這兩個服務，皆以“logs”為名，可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制，下載次數超過500萬次，目前已被Google Play下架。 — 圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker，下載次數超過500萬次

GhostClicker企圖躲避撒箱偵測

繼續閱讀

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

2017 年 06 月 20 日2017 年 06 月 20 日趨勢科技 TrendMicro

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM)，會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下，個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式，在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式，例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制，試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。