Google play - 資安趨勢部落格

Google Play 出現假的植物大戰殭屍2( Plants vs. Zombies 2)

2013 年 08 月 01 日2014 年 04 月 02 日趨勢科技 TrendMicro

當 PopCap 在二〇一〇年推出了 iOS 版的植物大戰殭屍( Plants vs. Zombies )，接著在二〇一一年推出 Andorid 版本時，這款遊戲聚集了大量的人氣。現在，隨著它的下一代即將發佈（在澳洲和紐西蘭搶先上架），網路犯罪分子也已經開始在利用這股熱潮。

趨勢科技發現了一個問卷調查詐騙網站，代管在Blogger上，並且連結到YouTube視頻網頁。這個網站被認為是典型的問卷調查詐騙網站，而沒有用到惡意軟體。

之後，趨勢科技發現了更多和植物大戰僵屍2( Plants vs. Zombies 2)有關的威脅。趨勢科技光在Google Play上就發現了超過七個相關威脅（假應用程式，或號稱可以下載這軟體的下載軟體）。其中一個被偵測出會派送惡意廣告給使用者的假應用程式。它被偵測為ANDROIDOS_FAKEZOMB.A。趨勢科技預計在未來幾天內會發現更多威脅。

Google一直以快速處理Google Play內所發現的威脅而受到好評，但直到寫這篇文章為止，所有的這些假應用程式都自己從網站上移除，假「開發者」停止提供下載。類似的詐騙活動也都在應用程式出現在商店後廿四小時內暫時停止了。

這些威脅的存在和它們背後的社交工程陷阱( Social Engineering)並非是什麼新東西，我們在過去已經報導過許多類似的事件，像是之前曾經被針對的遊戲 – Candy Crush、壞蛋豬和Temple Run。但這裡要注意的是，我們所看到的假應用程式都出現在Google Play上的這股新模式。像是：

利用已經出現在iOS App Store上而尚未出現在Google Play的受歡迎或即將推出的熱門遊戲應用程式續集
假應用程式會要求先給予五星級評等和評論後才可以「玩」
假應用程式都是免費的，相反地，合法應用程式會收費繼續閱讀

廣告軟體利用假的Candy Crush蒐集個資

2013 年 06 月 13 日2014 年 04 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

根據趨勢科技 PC-cillin 民調中心調查發現,30.67% 人最無法法抵抗的應用程式,是Candy Crush,憤怒鳥,壞蛋豬等熱門遊戲 APP ,可以預期的，暗黑開發商將魔掌伸向了Candy Crush，這個在社群網路和Android上最熱門的遊戲應用程式。

作者：Gelo Abendan

可以預期的，暗黑開發商將魔掌伸向了Candy Crush，這個在社群網路和Android上最熱門的遊戲應用程式。

最近，Candy Crush擠下了FarmVille 2，成為臉書上最受歡迎的遊戲應用程式。這讓它的人氣大增，卻也帶來了危險。特別是，Candy Crush的受歡迎程度讓它成為暗黑開發商和網路犯罪份子的完美目標，可以用來誘騙遊戲粉絲以獲取利益，就跟之前發生在其他受歡迎行動應用程式和遊戲上的事情一樣，像是過去的Instagram、壞蛋豬和Temple Run。

所以一點也不讓人驚訝的，趨勢科技發現了假的Candy Crush應用程式的出現，這些應用程式包含了廣告應用程式Leadbolt和Airpush，含有上述程式碼的應用程式在去年非常氾濫。（趨勢科技偵測為ANDROIDOS_LEADBLT.HRY和ANDROIDOS_AIRPUSH.HRXV）。

廣告軟體不僅僅會採用積極的廣告策略，像是持續性的通知，同時也會收集使用者包含所在位置等相關資訊,侵犯了使用者的隱私。

繼續閱讀

超過 4000 個針對行動裝置平台潛在的網路釣魚風險

2013 年 04 月 01 日2013 年 04 月 01 日趨勢科技 TrendMicro

趨勢科技警告：偵測發現超過4000個針對行動裝置平台潛在的網路釣魚風險

趨勢科技6步驟　保你不上駭客鉤

【2013 年 4 月 1 日 台北訊】全球消費性數位資訊安全領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 公布最新2012年行動裝置網路釣魚威脅研究報告中發現，有超過 4,000 個網路釣魚網址是專門針對行動裝置而設計，顯示智慧型手機與平板電腦等行動裝置已成為駭客網路釣魚攻擊的鎖定目標。

根據最近一項研究顯示[1]，美國使用者每 5 人就有 4 人會使用智慧型手機上網購物；更有 52% 的使用者會透過行動裝置來瀏覽網站[2]，也有 39% 會上社交網站或部落格。趨勢科技全球病毒防治中心 TrendLabs 研究員 Paul Oliveria 指出：「行動裝置的方便性，讓使用者逐漸改變行動裝置的使用習慣。網路犯罪者也利用這股消費新趨勢設計網路釣魚活動，假冒正常網站來誘騙使用者提供敏感的個人資訊，希望擷取更多個資，進而牟利。」

趨勢科技也發現，在 2012 年當中，有四成三針對行動裝置網路釣魚網址都是假冒知名的銀行或金融機構網站，例如：英國 Barclays 銀行；而其中的 PayPal 和 eBay 則為最常被假冒的電子商務與購物網站。一旦使用者受騙，在釣魚網站上提供帳號和密碼，歹徒就會暗中進行金融交易，或使用受害者的帳號購物，輕則金錢損失，重則可能帳號被冒用從事不法行為。
繼續閱讀

Google 單方面移除 Google Play的廣告攔截程式,對消費者的影響

2013 年 03 月 27 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

最近新聞媒體報導 Google 單方面移除了 Google Play 商店上所有的廣告攔截程式。稍後，這些 App 程式的開發廠商也證實了這點，並且表示，根據 Google 的說法，他們的 App 程式因為違反了所有 Android 開發人員都同意遵守的開發人員發行合約 (Developer Distribution Agreement)。

在一個理想的世界當中，Google 的舉動或許是對的。其合約的確切內容為：

您同意不會利用「市場」來從事任何會干擾、中斷、損害、或未經同意存取其他任何第三方 (包括但不限於 Android 使用者、Google 或任何行動網路業者) 之裝置、伺服器、網路或其他財產或服務的活動，包括開發或發行「產品」。

粗體字是我們加上去的。前述有問題的 App 程式確實違反了這項合約，Google 也的確有權移除這些程式。

問題是我們並非處於一個理想的世界。內建積極式廣告的 App 程式與網站數量已相當嚴重，造成了使用者的困擾並引發這項問題。有些甚至會出現惡意的行為，幫使者訂閱一些高費率的服務。很多使用者已開始擔心廣告網路追蹤他們的作法，也厭倦了每次上網就看到一堆廣告。簡單的說，使用者對廣告網路已不再完全信賴，因此才會採取自我保護行動。

Google 這樣的舉動很顯然是為了保障廣告商與開發商，尤其是保障 Android App 程式的開發商。或許從商業的角度看來也是一項正確的決定。但很不幸地，外面仍有許多不肖的開發廠商與廣告商，讓使用者不得不尋求自保。繼續閱讀

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

2013 年 02 月 21 日2013 年 02 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外，Android使用者也必須要小心那些有後門功能的應用程式。

雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體，但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告，這正好說明了針對Android攻擊的多樣化，而且還沒有看到盡頭。

而在出現這些報告之前，我們從二〇一二年七月就開始看到這類型的惡意軟體，到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本（趨勢科技偵測為ANDROIDOS_KSAPP.A，ANDROIDOS_KSAPP.VTD，ANDROIDOS_KSAPP.CTA，ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX）是從某第三方應用程式商店取得，但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類，有些會做成熱門遊戲的重新包裝版本。

我們所分析的第一批樣本是用相同的應用程式名稱，應該是來自同一家公司。

一旦這些惡意應用程式被安裝成功，它會連到下列的遠端網站以取得壓縮過的腳本程式，然後讀取這腳本程式：

https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0

https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜，因為惡意軟體可以透過新腳本程式來變更自己。

如上圖所示，這惡意軟體還會更新執行中的腳本程式，以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令，讓遠端攻擊者可以在受感染設備上執行。例如，應用程式可以執行測試用函數（代碼如下所示）：

解讀遠端腳本程式，可以用Java反射（reflections）安裝新的Java物件（如變數和函數），因此動態的遠端程式碼可以在本地端執行，這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案，應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備，執行更多可怕的指令。

二〇一二年已經成為Android威脅的一年，而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到，Android惡意軟體的數量成長到卅五萬，相對於我們在二〇一一年所看到的一千個行動惡意軟體，這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史，只是用更快的速度。如果這種趨勢繼續下去，我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬。繼續閱讀