分類: Google play

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

趨勢科技 TrendMicro

趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。

 

 

 

 

 

 

 

 

 

經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。

 關閉付費彈出視窗,他下載影音等應用程式你買單

現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。

使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者因為不想要的應用程式和影音而花錢

 

要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知

通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

解碼伺服器的位置放在設定檔內 - yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。

繼續閱讀

奧運即時轉播? 19 個網址有毒! 下載奧運相關手機 App,當心閉幕式後帳單暴增

趨勢科技 TrendMicro
 
即時轉播釣魚網站充斥;回味開幕式影片,網路釣魚虎視眈眈;惡意 APP,下載後帳單破紀錄 …倫敦奧運相關威脅層出不窮
 

期待已久的 2012 年倫敦奧運正式揭開序幕。除了一些兜售門票的詐騙網站與販售偽造票卡給日本消費者的惡意網站之外,趨勢科技也看到了許多趁此運動盛會佯稱提供即時影音串流的網站。以下摘錄一些網址給大家參考:

奧運即時轉播?19 個網址有毒!

  1. https://olympicsopeningceremony2012live.{BLOCKED}d.com
  2. https://olympicgames2012live.{BLOCKED}d.com
  3. https://olympics-2012-live-stream.tumblr.com
  4. https://olypiccoverage2012.{BLOCKED}d.com
  5. https://{BLOCKED}12openinglivestream.{BLOCKED}d.com
  6. https://{BLOCKED}livestream.epl-schedule.com
  7. https://{BLOCKED}ingceremony2012live.blogspot.com
  8. https://{BLOCKED}ndonolympics2012liveonline.{BLOCKED}g.com
  9. https://{BLOCKED}12olympicsonline.{BLOCKED}log.com
  10. https://{BLOCKED}12olympicsliveonline.{BLOCKED}o.com
  11. https://{BLOCKED}ndonolympicsliveonline.tumblr.com
  12. https://{BLOCKED}12olympicsliveonline.{BLOCKED}w.com
  13. https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
  14. https://{BLOCKED}12olympicsliveonline.{BLOCKED}ner.com
  15. https://{BLOCKED}ympics2012livestreamfree.{BLOCKED}d.com
  16. https://{BLOCKED}donolympics2012liveonline.{BLOCKED}g.com
  17. https://{BLOCKED}12olympicsliveonline.{BLOCKED}b.com
  18. https://{BLOCKED}peningceremony2012.{BLOCKED}b.com
  19. https://{BLOCKED}urnal.co.uk

搜尋”奧運”,找到便宜奧運門票?!想再度回味開幕式,網路釣魚守株待兔

當使用者搜尋「watch london olympics opening ceremony live」(觀賞倫敦奧運開幕式實況轉播)、「watch london olympics online」(線上觀賞倫敦奧運)、「watch london olympics 2012 live」(觀賞 2012 倫敦奧運實況轉播) 等關鍵字詞時,前述網站將出現在搜尋結果的前幾項,因為駭客使用了所謂的「Black_Hat SEO 搜尋引擎毒化」(簡稱 BHSEO)。

 

搜尋「watch london olympics online」(線上觀賞倫敦奧運)當新病毒就在幕後虎視眈眈
搜尋「watch london olympics online」(線上觀賞倫敦奧運)當新病毒就在幕後虎視眈眈

 

 趨勢科技在分析時,前述有些網站會重導到假的 2012 年倫敦奧運實況轉播網站,網站上還提供一些連結可購買便宜的 (事實上是假的) 門票 。該連結已在之前部落格文章當中披露。

 

山寨網站提供便宜的 (事實上是假的) 奧運門票購買連結
山寨網站提供便宜的 (事實上是假的) 奧運門票購買連結

 

還有一些實況影音串流網站,則會重導到另一個要求您輸入電子郵件地址的網站。網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)。

一些實況影音串流網站,會重導到另一個要求輸入電子郵件地址,網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)
一些實況影音串流網站,會重導到另一個要求輸入電子郵件地址,網路犯罪者藉此收集消費者的電子郵件地址,然後用於散發垃圾郵件(SPAM)

繼續閱讀

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

趨勢科技 TrendMicro

就在一波疑似某 Android 殭屍網路/傀儡網路 Botnet垃圾郵件(SPAM)的報導出現之後不久,趨勢科技就發現了 Android 平台Yahoo! App 程式的漏洞,此漏洞可讓駭客利用遭入侵的 Yahoo! 帳號散發垃圾郵件。

第一波透過 Android 殭屍網路散發的垃圾郵件?

近日趨勢科技發現了多個專門散發假藥品網站連結或網路釣魚(Phishing)網站連結的郵件。這一波垃圾郵件之所以特別,在於訊息的簽名部分有著「Sent from Yahoo! Mail on Android」(從 Android 上的 Yahoo! Mail 寄信) 的字樣,而且信件的 Message-ID 欄位數值為「androidMobile」。根據報導,其 IP 位址顯示這些訊息來自於開發中國家的網路業者。

某些專家依據這些證據猜測,這些垃圾郵件(SPAM)散發者可能利用了被植入惡意 App 程式的 Android 裝置。不過,Google 駁斥了垃圾郵件是從 Android 殭屍網路/傀儡網路 Botnet散發的說法,並宣稱歹徒應該是使用已感染的個人電腦,並在信件當中假冒行動裝置的特徵來試圖躲避電子郵件過濾機制。 

第一波透過 Android 殭屍網路散發的垃圾郵件?
第一波透過 Android 殭屍網路散發的垃圾郵件?

 

就在最近,有人提出了另一種可能的情況。某些資訊安全研究人員推論,歹徒可能利用Android 平台Yahoo! App 程式的漏洞來入侵行動裝置並散發垃圾郵件(SPAM)。

歹徒可能利用 Adroid 平台的 Yahoo! Mail App 程式漏洞來散發垃圾郵件

不論這些訊息是從何而來,網路駭客是有可能利用 Android 平台的 Yahoo! App 程式漏洞來入侵 Yahoo! Mail 帳號然後散發垃圾郵件。事實上,趨勢科技最近在 Android 上的Yahoo! 郵件用戶端上發現了一個漏洞,此漏洞可允許攻擊者取得使用者的 Yahoo! Mail cookie。此問題來自於 Yahoo! 郵件伺服器和 Android 平台 Yahoo! 郵件用戶端之間的通訊弱點。在取得這個 cookie 之後,駭客就能使用已遭入侵的 Yahoo! Mail 帳號來散發精心製作的信件。此外,上述漏洞還可讓駭客存取使用者的收件匣和信件。 繼續閱讀

Android上的間諜軟體測試版會竊取簡訊

趨勢科技 TrendMicro

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

繼續閱讀

迷思:「Google 會檢查所有上架的手機應用程式,因此我應該很安全才對。」

趨勢科技 TrendMicro

根據 Google 的說法,他們每天都有 850,000 個新的 Android 裝置啟用。想像一下警衛每天要保護 850,000 新車 (而停車場的規模還不斷呈倍數成長),尤其當中有 680,000 輛車門沒鎖,前座還放了貴重物品。車子之所以配備門鎖和警報器不是沒有原因的,因為有其需要!

 

僅有 20% 的 Android 行動裝置用戶安裝了安全軟體

自從趨勢科技 Longevity for Android™ 測試版推出以來,短短的二個月內,我們的行動裝置應用程式雲端信譽查詢次數已突破 850,000,讓使用者了解到手機應用程式的耗電量情況。但這也揭露了一項驚人的數據,那就是:僅有 20% 的 Android 智慧型手機和平板電腦用戶在裝置上安裝了安全軟體

很難想像在一個人們的生活都養賴智慧型手機來追蹤掌握的世界,而且絕大多數人家中電腦都會安裝安全軟體時,我們對智慧型手機的風險竟然還處於無知的幸福當中。

在我所接觸過的人當中,從「手機不是沒有病毒嗎?」到「我根本不知道手機也有防毒軟體」等各種反應都有。而最值得注意的是:「Google 會檢查所有上架的應用程式,因此我應該很安全才對。」

Google 會檢查所有的應用程式,對吧?

最後一種說法是我最擔心的。的確,Google 正嘗試對 Google Play 上的應用程式進行一些控管,並且移除任何潛在的安全風險。不過,這聽起來卻像是到 Cowboys Stadium、Wembley、MCG 或 Stade de France 看比賽卻將自己的相機、皮夾、駕照放在前座然後放著車門不鎖一樣,而且還認為停車場有警衛巡邏就一切 OK。

根據 Google 的說法,他們每天都有 850,000 個新的 Android 裝置啟用。想像一下警衛每天要保護 850,000 新車 (而停車場的規模還不斷呈倍數成長),尤其當中有 680,000 輛車門沒鎖,前座還放了貴重物品。車子之所以配備門鎖和警報器不是沒有原因的,因為有其需要!

根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通
根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通

資料來源:趨勢科技惡意程式部落格 –  2012 1 5

根據趨勢科技威脅研究人員預測,截至 2012 年底,全球將有超過 120,000 個 Android 惡意應用程式在外流通。目前,Google Play 商店上大約有 450,000 個應用程式,而且 Amazon、Telco Carrier 等第三方商店、獨立市場、區域性網站等等,還有無數的其他應用程式可供選擇。

2012年年底,Google Play 上的應用程式數量將上看 600,000 個
2012年年底,Google Play 上的應用程式數量將上看 600,000 個

資料來源:www.AppBrain.com – 2012 5

此外,我們也發現一些專門散布惡意應用程式的伺服器不斷誘騙受害者前網下載他們的軟體。就目前應用程式的成長速度來看,到了今年年底,Google Play 上的應用程式數量將上看 600,000 個,而整個全球網路上將有大約一百萬個不同的應用程式。

您或許會問,這一切很重要嗎?來看看傳統電腦惡意程式的數量,AVtest.org 估計從 1984 年至今,傳統電腦惡意程式累計大約有 7 千萬個,但此數字也只占 Windows、Mac 和 Linux 多年來所有應用程式和檔案的一小部分。

您遇到 Android 惡意應用程式的機率遠大於遇到電腦惡意程式。

以年底預測的 120,000 個 Android 惡意程式以及總數 1 百萬個 Android 應用程式來算,比例大約占 12%。這些應用程式通常都聚集在應用程式商店或相關網站,因為 Android 使用者會前往這些地點來尋找所需的應用程式。因此,如果您對照整個網際網路的傳統電腦惡意程式數量,就會發現 Android 使用者遇到惡意應用程式的機率顯然高得多。那麼,為何消費者目前的防護等級還有對防護需求的認知都這麼低?

這樣的落差值得大眾憂心。對網路犯罪者來說,卻值得慶祝。對趨勢科技和整個資訊安全軟體產業來說,我們應該更努力才對,因為我們必須讓大眾更了解數位生活當中的危險,不論他們使用的裝置為何。

@原文來源:Only 20% of Android Mobile Device Users Have a Security App Installed作者:Greg Boyle

@延伸閱讀:

你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務

保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

 

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

  
 
◎ 歡迎加入趨勢科技社群網站