2015 上半年行動威脅情勢:每兩個網路銀行 App 程式就有一個是惡意或假冒的程式

 

2015 上半年行動威脅情勢的焦點在於作業系統、應用程式以及裝置本身的漏洞。過去幾個月來所發生的幾起重大事件和案例顯示這些漏洞已成為歹徒的攻擊管道。此外,越權廣告程式和可能有害的程式 (PUA) 仍是極為普遍的威脅,數以百萬計的使用者因而暴露在惡意廣告與個資蒐集程式的危險當中。

以下是 2015 上半年幾起最重大的行動威脅案例。

內含 MDash 軟體開發套件 (SDK) 的應用程式突顯出線上廣告的危險

一些可能有害的線上廣告不光只是煩人而已,還會在行動裝置上植入惡意程式。

今年二月,Google Play 下架了一些據報由廣告程式偽裝的應用程式,這些內含 MDash 廣告 SDK 的應用程式讓數百萬台裝置感染了越權廣告程式,這就是趨勢科技所偵測到的 ANDROIDOS_ADMDASH.HRX。內含此 SDK 的惡意程式家族可在使用者背後偷打電話並偷偷蒐集資訊,並將資訊傳送至遠端伺服器。此外,還會在已感染的裝置上再安裝其他更惡劣的廣告。

內含 MDash SDK 的 App 程式

根據我們的調查,截至去年 3 月 11 日為止,Google Play 商店上就發現 2,377 個這類 App 程式的 SHA-256 雜湊碼。Google 在接獲研究人員通知之後,立刻展開了調查。

Pawn Storm 攻擊行動使用惡意的 iOS App

「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊) 利用行動裝置為跳板早已不是新聞。這樣的發展可歸咎於企業為了提高生產力和降低成本而紛紛搭上個人自備裝置 (BYOD) 與消費性科技的熱潮,但卻也不幸地因而引來風險。在我們觀察的期間,我們發現了一起利用 iOS 惡意程式來滲透目標機構網路並從事間諜活動的APT 攻擊行動:Pawn Storm

Pawn Storm 是一起網路間諜行動,其鎖定目標為政府機構,包括美國白宮和北約 (NATO) 會員國的政府單位,此外還有烏克蘭的媒體和政府機關。像這類採用 iOS 惡意程式 (也就是趨勢科技偵測到的 IOS_XAGENT.A 和 IOS_XAGENT.B) 的手法,證明就算再特殊的環境和作業系統,也不能防止歹徒的染指。

[延伸閱讀:進階持續性滲透攻擊 (APT) 發展趨勢:2014 年度報告]

XAgent (IOS_XAGENT.A) 會在手機上蒐集各種資訊,包括:簡訊、通訊錄、照片、已安裝的 App 清單等等。至於 Madcap (IOS_XAGENT.B) 則只能安裝在經過越獄的裝置上,並且具備錄音能力。

Android 勒索軟體和中國網路犯罪地下市場

中國網路犯罪地下市場因少數中國網路駭客而掀起一波行動勒索軟體風潮,他們都是以同一套廣為流傳的惡意程式原始碼為基礎。而網路犯罪地下市場的運作模式更助長了這類威脅的大量繁衍。這一波威脅幕後的駭客都非常年輕 (16 至 21 歲),但他們卻能輕易製作出 1,000 個以上的 Android 勒索軟體變種,這些都是趨勢科技所偵測到的 ANDROIDOS_JIANMO.HAT。

行動裝置漏洞日益增加

除了行動裝置威脅數量不斷成長之外,App 程式、作業系統與裝置本身的漏洞,也成了行動裝置使用者的頭痛問題,而且漏洞越來越多,使得網路犯罪集團擁有更多的攻擊管道。以下是這段觀察期間出現的一些重大行動裝置漏洞:

  • 經由 Hacking Team 資料外洩事件曝光的開放原始碼惡意程式套件 RCSAndroid可攻擊 Android 4.0 Ice Cream Sandwich 至 4.3 Jelly Bean 等系統版本的預設瀏覽器漏洞。此惡意程式套件專門用來監視或窺探目標受害者的行動。
  • 趨勢科技研究人員在 Android 系統的媒體伺服器 (mediaserver) 元件當中發現了多項可能導致裝置無法使用的漏洞,裝置可能陷入永無止境的重新開機循環,或者變得完全沒有反應。除此之外,研究人員還在媒體伺服器元件中發現了 Stagefright 漏洞,此漏洞可讓駭客藉由一封多媒體簡訊 (MMS) 就在行動裝置上安裝惡意程式。
  • Samsung 的 Android 裝置被發現了一個名為 Swiftkey 的漏洞,此漏洞可讓駭客經由中間人攻擊在裝置上執行惡意程式碼。
  • 趨勢科技研究人員在 Apache 應用程式架構當中發現了 Apache Cordova 漏洞。經由這個漏洞,駭客僅靠一個網址就能改變裝置上 App 的運作方式。

行動威脅數量不斷攀升

儘管有資安廠商的努力以及 Google 經由 App 權限所建立的安全機制,但 Android 威脅的數量在 2015 上半年仍持續不斷攀升。Android 作業系統市場占有率的穩定成長 (2015 年第一季達到 78%) 很可能是該平台威脅數量大量繁衍的主因。光是 Android 裝置和用戶的數量就足以讓該平台成為網路犯罪集團和駭客所覬覦的目標之一。

從以下幾項數據,我們就能看出 Android 作業系統的市場規模。

上圖翻譯如下:

數據會說話

Android 狂潮

Android 作業系統重要數據及相關威脅

市場平台
78%Android 智慧型手機作業系統 2015 年第一季市場占有率160 萬

2015 年 7 月 Google Play 商店陳列的 App 數量

10 億2014 年 Android 智慧型手機出貨量5 百萬

Minecraft: Pocket Edition 遊戲在 Android 裝置上的安裝數量,該遊戲是 Android 平台有史以來最成功的「付費」應用程式

多樣性威脅
18,796

2014 年 8 月非重複Android 裝置型號數量 (此數量 2013 年中期才將近 12,000)

160 萬

2015 年 6 月偵測到的 Android 威脅數量

49.5%將近半數的已知 Android 威脅是可能有害的程式
26.5%約四分之一的已知 Android 威脅是越權廣告程式

 

正如趨勢科技在 2014 上半年的報告中指出,行動惡意程式的問題將越演越烈。在我們監控行動威脅情勢的期間,行動惡意程式的數量從去年的 426 萬成長至 2015 上半年的 710 萬。


Android 惡意程式逐年成長趨勢

有趣的一點是,2015 年第二季偵測到的行動惡意程式當中有半數是可能有害的程式 (PUA),另有 27% 為越權廣告程式。儘管 PUA 嚴格來說不算惡意程式,但卻可能散布有害的廣告或協助其他後續的惡意活動。

Android 前幾大威脅類型分布比例 (2015 年第二季)

 

每兩個網路銀行 App 程式就有一個是惡意或假冒的程式

越權廣告程式和行動網路銀行惡意程式通常都暗藏在重新包裝的 App 程式當中。雖然這些 App 不一定是惡意程式,但仍會帶來嚴重風險,因為它們可能用於各種不肖用途。專門竊取網路銀行登入資訊的行動網路銀行惡意程式通常就是木馬化的 App 程式,經常讓使用者誤以為是正牌的程式。根據趨勢科技「行動裝置應用程式信譽評等服務」(Mobile App Reputation Service,簡稱 MARS) 所蒐集到的資料,每兩個網路銀行 App 程式就有一個是惡意或假冒的程式。

三個反制之道和建議

Google 已宣布未來將每個月定期釋出更新來修補漏洞。雖然這些更新有助於降低漏洞的風險,但裝置製造商和 App 開發廠商也應善盡自己的義務,確保裝置的安全性,也確保其開發的 App 程式不會遭歹徒暗藏惡意程式碼。不良的使用習慣以及使用久未更新的軟體,除了會有感染惡意程式的風險之外,還會讓資訊竊賊有機可乘。

以下是我們建議的一些安全措施及良好習慣,有助於防範各類行動裝置威脅:

  1. 隨時保持 Android 作業系統更新以防止漏洞。
  2. 避免從其他不明的來源安裝App 程式。
  3. 使用一套行動安全防護來偵測漏洞攻擊和惡意程式。

趨勢科技「安全達人」免費行動防護App( Android  / iOS )提供了防毒和網站信譽評等技術,可偵測行動惡意程式並攔截漏洞攻擊常用的不肖 App 和網址。其內建的行動裝置應用程式信譽評等服務,可協助 IT 人員根據即時的情報來防範危險的 App 程式。

 

原文出處:Mind the (Security) Gaps: The 1H 2015 Mobile Threat Landscape
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載