知名熱門遊戲App 破解版夾帶病毒, 從南韓蔓延至中國,已感染超過兩萬手機,中國使用者也遭受威脅  

最近有報導指出，南韓第三方應用程式商店所提供的某些 App 程式已使得 20,000 多支智慧型手機感染了惡意程式。值得注意的是，這些 App 程式都沒有在 Google 官方的 Google Play 商店上架。

此攻擊所用的 App 程式就是趨勢科技所偵測到的 ANDROIDOS_KRBOT.HRX 惡意程式，我們決定進一步深入追查這些感染案例。

揪出幕後黑手

趨勢科技發現，此攻擊幕後的網路犯罪集團經常活躍於散布盜版 App 程式的網路地下論壇，這類程式最常見的是知名熱門遊戲的App 破解版。歹徒專門蒐集各種破解版 App 程式，然後將它們重新包裝，加入自己的惡意程式碼，然後再流傳到網路上。

他們會透過各種 BT 下載網站、網路論壇以及各式各樣的第三方 App 程式商店來流傳。

圖 1：盜版 App 程式在地下論壇上的貼文。

圖 2：盜版 App 程式利用 Google Drive 為集散地。

圖 3：盜版 App 程式刊登在 BT 網站上。

惡意 App 程式一旦執行，就會啟動一個背景服務來連上預先設定好的電子郵件伺服器。

圖 4：暗藏的殭屍 (Bot) 服務。

根據我們的調查顯示，其中某些電子郵件帳號已經廢棄不用，顯示這項攻擊已經停止活動。

圖 5：已廢棄不用的電子郵件帳號。

不過，該惡意程式家族的新變種目前依然不斷被發現。我們很快就意識到，某些變種已改用其他新的電子郵件帳號，因此仍在活動當中，而這些電子郵件帳號專門用來接收一位名為「Res Sou」的寄件人所發出的加密指令。

圖 6：電子郵件收件匣內的加密遙控指令。

電子郵件當中的加密文字解開之後是兩個伺服器的位址，一個是 Socket 伺服器：https://{BLOCKED}dapp[.]ocry[.]com:50080/php/download.php:55555

另一個 HTTP 伺服器：https://{BLOCKED}dapp[.]ocry[.]com:50080/php/download.php

Socket 伺服器是為了讓殭屍程式接收遠端遙控指令，包括：

程式蒐集到的資料會儲存在 /data/data/[package name]/sent_data.db當中，而檔案則是透過前述的 HTTP 伺服器上傳或下載。

近期活動追蹤

從該電子郵件帳號的近期活動趨勢科技發現，該帳號是從一個日本 IP 位址所建立，並且從日本各處登入該帳號，因此歹徒有可能是透過日本的代理伺服器 (Proxy) 來隱藏行蹤。

圖 7：歹徒電子郵件帳號的近期活動。

而這項攻擊的幕後操縱伺服器則使用了一個動態 DNS 服務，其確切的伺服器位置在馬來西亞首都吉隆坡。我們在該伺服器上發現一個合法的網站。但經過進一步的調查，我們發現它並不提供一般的網站服務，持有該網站的公司全無回應。因此有可能該伺服器或許是遭到入侵而變成一台幕後操縱伺服器。

受害者的資料會被傳送至下列 IP 位址：

• 101[.]99[.]65[.]100
• 85[.]214[.]211.47

而這些伺服器的所在位置分別為馬來西亞和德國。

殭屍復活

我們已有證據顯示，除了南韓使用者之外，此 App 現在也開始攻擊中國使用者。趨勢科技在中國其中最大的一個 App 論壇上發現一些貼文即包含指向這些盜版 App 程式的連結，這意味著歹徒的目標已不再侷限於南韓使用者。

圖 8 和 9：專門針對中國使用者的變種。

儘管目前使用者下載的數量還不高，但該惡意程式現身中國網路論壇，代表網路犯罪集團已經將網撒向更多可能的受害者。趨勢科技建議使用者盡量避免從第三方 App 網站下載應用程式，最好只從官方 App 商店或官方網站下載。

趨勢科技已能偵測該惡意程式家族：ANDROIDOS_KRBOT.HRX，而趨勢科技的行動安全防護也能透過 Smart Protection Network 的全球情報來攔截所有相關威脅。建議使用者務必在行動裝置上安裝一套資訊安全軟體來防範惡意 App 程式及其他威脅。

趨勢科技加速達人 – 預防惡意重新打包遊戲 免費下載

安裝後會立即自動分類已安裝遊戲，新安裝的遊戲也能自動識別，如有病毒或惡意重新打包遊戲也會特別提醒，玩家們還可手動添加任何自己想要加速的軟體。即刻免費下載 !

原文出處：Following the Trail of South Korean Mobile Malware 作者：Veo Zhang (行動裝置威脅分析師)