Ghost Push 背後很可能是一個有組織的網路犯罪集團,因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外,該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本),皆透過非官方應用程式商店流傳。其中,有一個惡意程式感染了 100,000 多個裝置;有兩個感染了 10,000 多個裝置;有七個感染了 1,000 多個裝置。
萬聖節還沒到,但 Android (安卓)使用者已經開始遭到幽靈騷擾,也就是 Ghost Push 惡意程式可以取得手機最高權限,並且下載有害的廣告和應用程式。它經常包裝在非官方應用程式商店下載的 App 中。Ghost Push可監控任何可能通知使用者的執行程序,因此可肆無忌憚地從事惡意活動。
Ghost Push 惡意行徑還包含:強制關閉手機 Wi-Fi 功能,改用行動數據連線來下載惡意程式、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。
根據趨勢科技對 Ghost Push 的深入調查,其近期變種較先前版本更進化,會利用下列方式來讓它更難被偵測和移除:
- 將其 APK 和 Shellcode (漏洞攻擊程式碼) 加密。
- 直接執行惡意的 DEX 檔案 (Android 執行檔) 而不產生通知。
- 加入了保護機制來監控其執行程序是否正常執行。
- 將惡意程式的 .APK 檔案 (Android 應用程式安裝包) 重新命名。
- 啟動新的系統活動。
目前網路上流傳的 Ghost Push 變種大約有 20 多個,以下是幾個已知會散布這些變種的網址:
- {blocked}.{blocked}dn.com /testapk/[sample name].apk
- {blocked}.{blocked}ecdn.com/testapk/[sample name].apk
- {blocked}.{blocked}dn.com/testapk/[sample name].apk
- {blocked}.{blocked}n.com:80/testapk/[sample name].apk
Ghost Push 從今年 4 月起即活躍至今,但 9 月份出現的變種數量明顯高於前幾個月。
除了先前通報過的 39 個應用程式之外,以下也列舉一些已知感染 Ghost Push 的 Android 應用程式:
| 感染 Ghost Push 惡意程式的 Android 應用程式範例 |
| Demo |
| Door Screen Locker App |
| Loud Caller Name Ringtone |
| MagicStarMatchSweetDubbing |
| Photo Background Changer – Utltimate |
| Photo Cut Paste |
| Puzzle Bubble-Pet Paradise |
| RootMasterDemo |
| SuperZoom |
| 开心捕鱼 |
請注意,Ghost Push Android 惡意程式與 XcodeGhost iOS 威脅兩者毫不相干。雖然它們名稱都有個「Ghost」(幽靈),但基本上是兩個完全不同的威脅。感染 Ghost Push 的應用程式皆來自非官方應用程式商店,但感染 XcodeGhost 的應用程式有些也出現在 Apple 官方的 App Store 商店。
Ghost Push 的作者已發行了 600 多個 Android 應用程式
Ghost Push 背後很可能是一個有組織的網路犯罪集團,因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外,該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本),皆透過非官方應用程式商店流傳。其中,有一個惡意程式感染了 100,000 多個裝置;有兩個感染了 10,000 多個裝置;有七個感染了 1,000 多個裝置。
此外,趨勢科技也發現,該集團還有兩個非 Ghost Push 相關的非惡意應用程式在 Google Play 商店上架,不過目前也已經移除。其中一個叫做 Popbird (com.wenzhuo.popbird),下架之前的下載次數約 5,000 至 10,000;另一個是 Daily Racing (com.leo.car.en),下架之前的下載次數約 1,000 至 5,000。
從這些證據顯示,該集團擁有雄厚的技術實力,能夠輕易感染數千台裝置而不被發現。
最新變種內建保護機制和其他功能
Ghost Push 惡意程式的散布是經由不知情的使用者從非官方應用程式商店下載。其 APK 包裝檔會在 assets 目錄解開一個 DEX 執行檔 (該檔案有時命名為 protect.apk)。解開之後,惡意程式就會直接執行此惡意的 DEX 檔案,使用者不會看到任何圖示或通知。載入這個 DEX 之後,惡意程式接下來會啟動其他惡意系統活動和服務,包括設定開機時自動啟動該應用程式。
這個應用程式接著會將裝置解鎖 (Root),然後,將惡意檔案儲存在記憶體中。它會利用「chattr + i」這個命令列指令來讓應用程式變成一個不可改變的物件,因此變得無法刪除,就算使用者升級了軟體也一樣。
請注意,在這整個過程當中,Ghost Push 惡意程式會自動將自己加密及解密來保護其重要的檔案、字串和 Shellcode。
與先前的變種不同之處在於,新的 Ghost Push 變種會使用「執行程序監控程式」(Process Watcher) 來監控裝置上的執行程序,確保其惡意程序正常執行。這個保護機制也有助於惡意程式計算裝置還有多少剩餘空間可安裝惡意應用程式。
此外,某些新的變種還去掉了一些舊版的功能,例如:停用裝置的 WiFi 連線,改用行動數據連線來下載惡意的應用程式。不僅如此,它們還會將 APK 包裝檔重新命名以免與舊的版本衝突。
由於裝置已經被解鎖 (Root),並且有監控程式來監控任何可能通知使用者的執行程序,因此該程式就能肆無忌憚地從事惡意活動,包括:安裝可能有害的應用程式和廣告、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。
解決之道和偵測資訊
使用趨勢科技行動安全防護的客戶無須擔心 Ghost Push 的相關威脅,因為我們從今年四月起就一直持續監控和攔截相關的惡意程式。
像 Ghost Push 這樣的威脅會危害裝置使用者的隱私。要防範這類想盡辦法來隱藏自己並保護其執行程序的應用程式,裝置使用者應該養成下列良好習慣:
- 僅從官方應用程式商店下載 App,即便如此,仍要隨時留意有關不肖應用程式的新聞。
- 在 Android 裝置上安裝一套隨時保持更新的行動安全防護,如:免費下載Dr Mobile團隊開發的免費手機安全防護APP-安全達人免費 APP,以防範最新的威脅,並且在惡意程式安裝之前預先加以攔截。
隨著企業員工使用消費性裝置的情況越來越普遍,惡意程式很容易藉由這些裝置潛入企業環境。因此,不論企業或個人都應將資安防護延伸至行動裝置。一些針對企業設計的趨勢科技™ Mobile Security ,可協助企業發掘及封鎖具有危險的應用程式,防範這些程式潛入行動裝置。
以下是我們所偵測到的 Ghost Push 相關惡意檔案和雜湊碼:
- CBT
SHA1: b341bf8a492ce482c8b0fee925a8ceee80ad0efa - CBT
SHA1: c4c9df3a1ec5d46c2a7203f7e903d77cd8da97aa - HRX
SHA1: 0f0654f0de23c3efeae3a3cf8bcdd8346a8cf280
原文出處:New “Ghost Push” Variants Sport Guard Code; Malware Creator Published Over 600 Bad Android Apps) | 作者:Yang Yang 和 Jordan Pan
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載