Android安裝程式劫持漏洞,成為惡意軟體誘餌
Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。
有一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。
第一個網站
第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。
圖1、第一個網站透過兩個選項來「提供」掃描程式
如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:
- apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
- vShareMarket_1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
- 63_1631_03201923.apk – 這是個正常的應用程式
第二個網站
「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。
圖2、第二個網站(左)和持續跳出的視窗(右)
第三個網站
跟第二個網站一樣,當我們連上第三個網站並不會下載檔案。我們發現Google Play按鈕會連到可疑網站。不過想進一步檢查時就因為出現「錯誤請求」訊息而被停止。
圖3、Google Play按鈕會導到此網站
我們注意到其中一個網站在我們的調查過程中有時會關閉。雖然很難確認其背後的原因,但很有可能是為了避免被監視和審查。安全研究人員或機構可能不會進一步地檢查該網站,如果他們認為該網站已經關閉或不再使用。
圖3、關閉中的網站
社交工程運作中
雖然沒有發現利用該Android漏洞的威脅,我們卻發現會利用對此漏洞恐懼心理的威脅。利用熱門話題或當前事件是社交工程(social engineering )所擅長的伎倆。網路犯罪分子會利用任何話題,只要能夠說服使用者落入陷阱。
看到新聞事件時,使用者應該要保持冷靜。他們可能會想去訪問任何一個可以連上的網站以盡可能地獲得更多資訊。然而,這些可能會導致有問題的內容,甚至是惡意的可疑網站。
使用者應該要到知名的網站獲取資訊。要下載漏洞或其他威脅的修復程式,最好是去開發者或官方來源。對於此一特定事件,正式掃描程式可以在Google Play取得,更多的資料也可以到開發者網站上找到。其他知名的新聞來源也會包括正常應用程式的連結。
防禦社交工程(social engineering )攻擊不只是要注意網站和應用程式。我們也經常看到網路犯罪分子使用電子郵件和社群網路作為社交工程的媒介。在此狀況下,我們建議使用者在點擊任何東西前都要加以三思跟審慎評估。他們需要找一找是否有警告他們有可能惡意活動的訊號。
使用者還應該投資安全軟體在他們所有的設備上。這也包括了行動設備,比如安全達人免費 App就可以提供保護。網路犯罪分子在感染系統時不會挑選對象。他們會將目標放在任何一種設備,只要可以找到受害者就行了。對於使用者來說,如果他們的安全解決方案可以偵測和封鎖各種形式的惡意軟體、垃圾郵件和不良網站等威脅會是種加分。使用者也可以在連到網站前先使用趨勢科技的Site Safety Center來檢查網站是否安全。
相關檔案的雜湊值如下:
- 2bcf15ae5fd2fda84d0b6bbb4143272d97f500be – ANDROIDOS_SMSPAY.FCA
- 5ca7fb455f76f940768482410d4bb423edc3c633 – ANDROIDOS_JPUSH.A
@原文出處:Android Installer Hijacking Bug Used as Lure for Malware作者:Gideon Hernandez(網路詐騙分析師)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接