分類: APP

假 Android漏洞「掃描程式」暗藏玄機

趨勢科技 TrendMicro

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

繼續閱讀

假關機真監控, Android手機木馬”暗”地裡執行惡意動作

趨勢科技 TrendMicro

你以為你的 Android 手機真的已經關機了嗎?別相信眼見為憑這件事。

一個被稱為PowerOffHijackAndroid,來自中國應用程式商店的木馬程式,可以成功地誘騙使用者相信自己的設備在關機狀態。除非你一手拿著Android手機,一手拿著它的電池,不然你可能無法確定它是否真的關機。

偽裝關機的Android木馬可以追溯到2014年的假Google服務應用程式

Android關機動畫讓你相信設備正在關機。在這時候,惡意軟體仍然可以撥打電話、傳送簡訊、拍照和做其他惡意行為,而且不用經過使用者同意。

這些惡意軟體都在Google Play之外的第三方應用程式商店中發現,需要被 root過的設備才能執行。


 Android- Fakes Shutdown-Dr

 

深入此一問題後,趨勢科技研究者發現了據信為早期版本的 PowerOffHijack 應用程式,似乎早在2014年9月就出現。應用程式名稱為AndroidFramework(偵測為AndroidOS_AndFraspy.HAT),將自己偽裝成Google服務,使用套件名稱com.google.progress。

假關機行為

行動裝置使用者都知道,按下電源按鈕有兩種做法。按一下按鈕會關閉螢幕,長按會跳出提示,包括了關機選項。

AndroidFramework 被設計成在背景執行其惡意動作,當你按下電源按鈕並且讓螢幕變黑之後。 繼續閱讀

中國免費App,充斥山寨行騙,附贈間諜軟體,廣告軟體及付費簡訊

趨勢科技 TrendMicro

「不小心」點到傳送簡訊付費的按鈕;付款通知被攔截;關閉廣告反而導致更多廣告;下載達 52 萬次的山寨「紀念碑谷」,竟會隨機發送詐騙訊息;iPhone  特賣,訂單送出同步收集個資給攻擊者…..這一切都是山寨免費軟體的陰謀!!

fake app -Free Apps In Chinese App Stores Put Users At Risk

中國應用程式商店內的免費軟體讓使用者陷入危險

趨勢科技最近看到了大量重新封裝的Android應用程式出現在中國應用程式商店上。這些應用程式會偽裝成「免費」軟體,但最終它們會浪費掉使用者的時間和金錢:它們會帶來各種廣告或是訂閱加值服務。(注意,這些應用程式在官方Google Play上都找不到)

這裏有兩種管道在運作。第一,國外的應用程式經由中國公司中文化或重新封裝,並用在各種計劃上。第二,盜版付費/加值應用程式重新封裝成「免費版」,加入了廣告軟體或其他的程式碼。不管是哪一種狀況,重新封裝的程式都帶來可能是惡意的風險。

在第一種狀況,中國公司和原先的開發商簽訂合約去為中國市場中文化應用程式。這包括了翻譯和更改成中國市場所使用的付款方式。但是不道德的公司可能會在此時加入自己的程式碼,加入廣告或透過簡訊號碼來從使用者那獲取金錢。 繼續閱讀

應用程式內不正常的AndroidManifest.xml可能導致手機崩潰

趨勢科技 TrendMicro

每個Android應用程式都包含了數個元件,其中一個稱為AndroidManifest.xml或Manifest配置文件。這個檔案中包含了應用程式的基本資訊,是系統執行應用程式程式碼必須要有的資料。我們發現一個和此檔案相關的漏洞,可能會導致受影響手機陷入重新啟動的無限迴圈,讓手機變得無法使用。

 

手機病毒aNDROID

Manifest資源配置文件漏洞

這個漏洞會透過兩種不同的方式導致作業系統崩潰。

第一種牽涉到超長字串和記憶體分配。一些應用程式可能會使用DTD技術(文件類型定義,Document Type Definition)在其XML檔中包含了超長字串。當此字串被分配給AndroidManifest.xml的標籤(如權限名稱、label、活動(Activity)名稱)引用時,PackageParser會需要記憶體來解析這XML檔。然而,如果它需要的記憶體比可使用的還多時,PackageParser會崩潰。這會觸發連鎖反應,讓所有正在執行的服務停止,整個系統會因此重新開機。

第二種方法牽涉到APK檔和intent-filter,它用來宣告服務或活動(Activity)可以做的事情。如果Manifest資源配置文件內包含一個活動(Activity)帶有這此intent-filter定義,會在桌面建立一個圖示:

 

<intent-filter>

        <action android:name=”android.intent.action.MAIN”/>

        <category android:name=”android.intent.category.LAUNCHER”/>

 </intent-filter>

 

如果有許多活動(Activity)用此intent-filter定義,在安裝後會建立相同數量的圖示在主畫面中。如果數量太多。這APK檔 就會導致重新開機迴圈。

如果活動(Activity)的數量大於10,000:

 

  • 在Android 4.4上,桌面管理程序會進行重開機。
  • 在Android L上,PackageParser會崩潰和重開機。不正常的APK檔會被安裝,但不會顯示圖示。

 

如果活動(Activity)的數量超過100,000,手機會陷入重新開機迴圈。 繼續閱讀

當應用程式出現「立即修復獲得更好的使用者體驗」….請小心!!談中國第三方應用程式商店內的下載器應用程式

趨勢科技 TrendMicro

講到第三方應用程式商店時,我們都會談論到安全風險。先前的研究已經顯示第三方應用程式商店往往是惡意軟體的溫床,具體來說,是惡意版本的熱門應用程式。除了惡意應用程式外,我們也看到「下載器應用程式」明顯地增加在這些商店內,其主要功能是下載其他可能對行動用戶造成危害的應用程式。

中國第三方應用程式商店內的下載器應用程式

趨勢科技的工程師決定來研究在中國最受歡迎的第三方Android應用程式商店。他們發現該網站有數以千計的應用程式被特別封裝來誘騙使用者下載其它應用程式。

一個例子是偽裝成遊戲應用程式的火雲邪神。我們的分析顯示這只是個重新封裝過的應用程式,會在安裝後跳出視窗。該訊息通知使用者系統缺少某些應用程式所需核心組件,並促使他們加以修復以得到「更好的使用者體驗」。一旦按下「修復」按鈕就會開始下載。

圖1、(左圖)遊戲應用程式;(右圖)指出該設備需要下載組件的訊息

當下載「修復」時,會出現其他應用程式的圖片訊息來要求使用者點擊。點擊任何圖片都會下載其它應用程式。我們注意到下載的應用程式並不一定是圖片所廣告的那一個。

如果使用者不按圖片,圖片會停在螢幕上,直到下載完成。使用者可以按下「X」來關閉圖片,但是另一個圖片會馬上出現加以替換。

下載完成後,會要求使用者安裝「組件」。這其實是個下載器,com.andriod.frames

圖2、該組件是com.andriod.frames

安裝完成後,com.andriod.frames會在背景執行。它會下載其他應用程式並要求使用者安裝。

圖3、com.andriod.frames在背景執行並下載其他應用程式

 

下載器應用程式的危害

我們在資料庫內搜索這些應用程式,發現它們的套件名稱似乎很隨機。  繼續閱讀