Google Play 上的兩款遊戲可將 Android 裝置解鎖

圖 1:Google Play 上的 RetroTetris 惡意遊戲。

Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話,那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起,而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris,我們已將問題通報給 Google Play 的資安團隊,目前正在等候回音。

RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計,它大約感染了 500 至 1,000 台 Android 裝置,絕大多數位於中國。

它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料,以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些):

  • Appszoom:http://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
  • 豌豆荚:http://www.{BLOCKED}jia.com/apps/com.antdao.tetris
  • 应用宝:http://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
  • 360Market:http://{BLOCKED}u.360.cn/detail/index/soft_id/2911263
圖 2:從網路上安裝惡意 App 的程式碼。

這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件,視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。

 

Rootkit CVE 漏洞編號
FramaRoot CVE-2013-6282
TowelRoot CVE-2014-3153
GiefRoot CVE-2014-7911 和 CVE-2014-4322
PingPongRoot CVE-2015-3636

表 1:RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞

圖 3:惡意工具與惡意遊戲的程式碼有諸多相似之處。

經過進一步的分析,我們找到了一個與 RetroTetris 相關的網站 (shuame.com),裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像,因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。

Brain Test
Brain Test 假冒成一個腦力測試的遊戲,包括讓您的「左腦」和「右腦」互相比較,您必須在一分鐘內解出問題。聽起來是不是很有挑戰性?這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱:com.mile.brain) 時的誘餌,隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架,但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱:com.zmhitlte.brain),這次使用的是百度包裝程式。此程式又被 Google 逮到,並於六天之後,也就是 9 月 16 日將它下架。不過,作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成:com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置,就會再下載並安裝其他惡意應用程式,並且會將裝置解鎖 (root),讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信,即使這個惡意程式已經從 Google Play 下架,但應該還是有些存在於受害者的裝置中。

圖 4:Brain Test 惡意遊戲在 Android 裝置上的圖示。

Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外,我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站,以下列舉幾個範例:
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms

解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎,不論 Google Play 商店和非官方應用程式商店都一樣。此外,您也可以安裝一套行動裝置防護軟體,如趨勢科技行動安全防護 (TMMS) ,就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼:
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式:
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A

原文出處:Two Games Released in Google Play Can Root Android Devices作者: Wish Wu 和 Ecular Xu

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載