知名熱門遊戲App 破解版夾帶病毒, 從南韓蔓延至中國,已感染超過兩萬手機,中國使用者也遭受威脅  

最近有報導指出,南韓第三方應用程式商店所提供的某些 App 程式已使得 20,000 多支智慧型手機感染了惡意程式。值得注意的是,這些 App 程式都沒有在 Google 官方的 Google Play 商店上架。

手機 app 應用程式 社群 FB 行動 Mobiel Social media

此攻擊所用的 App 程式就是趨勢科技所偵測到的 ANDROIDOS_KRBOT.HRX 惡意程式,我們決定進一步深入追查這些感染案例。

揪出幕後黑手

趨勢科技發現,此攻擊幕後的網路犯罪集團經常活躍於散布盜版 App 程式的網路地下論壇,這類程式最常見的是知名熱門遊戲的App 破解版。歹徒專門蒐集各種破解版 App 程式,然後將它們重新包裝,加入自己的惡意程式碼,然後再流傳到網路上。

他們會透過各種 BT 下載網站、網路論壇以及各式各樣的第三方 App 程式商店來流傳。

圖 1:盜版 App 程式在地下論壇上的貼文。

圖 2:盜版 App 程式利用 Google Drive 為集散地。

圖 3:盜版 App 程式刊登在 BT 網站上。

惡意 App 程式一旦執行,就會啟動一個背景服務來連上預先設定好的電子郵件伺服器。

圖 4:暗藏的殭屍 (Bot) 服務。

根據我們的調查顯示,其中某些電子郵件帳號已經廢棄不用,顯示這項攻擊已經停止活動。

圖 5:已廢棄不用的電子郵件帳號。

不過,該惡意程式家族的新變種目前依然不斷被發現。我們很快就意識到,某些變種已改用其他新的電子郵件帳號,因此仍在活動當中,而這些電子郵件帳號專門用來接收一位名為「Res Sou」的寄件人所發出的加密指令。

圖 6:電子郵件收件匣內的加密遙控指令。

電子郵件當中的加密文字解開之後是兩個伺服器的位址,一個是 Socket 伺服器:http://{BLOCKED}dapp[.]ocry[.]com:50080/php/download.php:55555

另一個 HTTP 伺服器:http://{BLOCKED}dapp[.]ocry[.]com:50080/php/download.php

Socket 伺服器是為了讓殭屍程式接收遠端遙控指令,包括:

“register” 向遠端伺服器註冊
“request_call_log” 要求取得通話記錄
“request_contact” 要求取得通訊錄連絡人清單
“request_file_list” 要求取得裝置儲存空間內的檔案清單
“request_create_new_dir” 要求在裝置儲存空間內建立新目錄
“request_file_upload” 要求上傳裝置儲存空間內的檔案
“request_file_download” 要求下載檔案到裝置儲存空間內
“request_item_delete” 要求刪除裝置儲存空間內的檔案
“request_calendar_event” 要求上傳行事曆活動
“request_del_message” 要求刪除簡訊
“request_send_message” 要求上傳簡訊
“request_send_all_message” 要求上傳所有簡訊
“request_endcontrol” 結束遠端遙控

程式蒐集到的資料會儲存在 /data/data/[package name]/sent_data.db當中,而檔案則是透過前述的 HTTP 伺服器上傳或下載。

近期活動追蹤

從該電子郵件帳號的近期活動趨勢科技發現,該帳號是從一個日本 IP 位址所建立,並且從日本各處登入該帳號,因此歹徒有可能是透過日本的代理伺服器 (Proxy) 來隱藏行蹤。

圖 7:歹徒電子郵件帳號的近期活動。

而這項攻擊的幕後操縱伺服器則使用了一個動態 DNS 服務,其確切的伺服器位置在馬來西亞首都吉隆坡。我們在該伺服器上發現一個合法的網站。但經過進一步的調查,我們發現它並不提供一般的網站服務,持有該網站的公司全無回應。因此有可能該伺服器或許是遭到入侵而變成一台幕後操縱伺服器。

受害者的資料會被傳送至下列 IP 位址:

  • 101[.]99[.]65[.]100
  • 85[.]214[.]211.47

而這些伺服器的所在位置分別為馬來西亞和德國。

殭屍復活

我們已有證據顯示,除了南韓使用者之外,此 App 現在也開始攻擊中國使用者。趨勢科技在中國其中最大的一個 App 論壇上發現一些貼文即包含指向這些盜版 App 程式的連結,這意味著歹徒的目標已不再侷限於南韓使用者。

圖 8 和 9:專門針對中國使用者的變種。

儘管目前使用者下載的數量還不高,但該惡意程式現身中國網路論壇,代表網路犯罪集團已經將網撒向更多可能的受害者。趨勢科技建議使用者盡量避免從第三方 App 網站下載應用程式,最好只從官方 App 商店或官方網站下載。

趨勢科技已能偵測該惡意程式家族:ANDROIDOS_KRBOT.HRX,而趨勢科技的行動安全防護也能透過 Smart Protection Network 的全球情報來攔截所有相關威脅。建議使用者務必在行動裝置上安裝一套資訊安全軟體來防範惡意 App 程式及其他威脅。

趨勢科技加速達人 – 預防惡意重新打包遊戲 免費下載

安裝後會立即自動分類已安裝遊戲,新安裝的遊戲也能自動識別,如有病毒或惡意重新打包遊戲也會特別提醒,玩家們還可手動添加任何自己想要加速的軟體。即刻免費下載 !

原文出處:Following the Trail of South Korean Mobile Malware 作者:Veo Zhang (行動裝置威脅分析師)