「色情」永遠是個賣點,這一點對中國行動裝置威脅情勢來說真是再貼切不過。最近幾個星期,中國、日本和台灣的 Android 使用者不斷遭到以色情為號召的惡意程式攻擊。
這些惡意 App 程式都是經由假網站來散布,這些網站會利用一些熱門醜聞和外遇事件的關鍵字來毒化搜尋引擎。它們會假裝成色情影片網站,但全都會讓使用者裝置被植入各種不同的惡意 App 程式。這些以成人內容為誘餌的詐騙,讓我們想起多年前曾出現的單鍵付款詐騙 App。
趨勢科技發現了三個經由這類網站散布的惡意程式,它們都有相同的行為,也就是在使用者裝置上植入更多惡意 App 程式。這些程式會透過彈出式系統更新通知來推送至使用者裝置:
趨勢科技所偵測到的 AndroidOS_Souying.HRX 就是其中一個惡意程式,該程式內含漏洞攻擊程式碼,可攻擊多個核心驅動程式漏洞 (CVE-2012-6422、CVE-2013-2595 和 CVE-2014-2273) 來取得系統管理員權限。一旦取得權限,就能在系統上偷偷安裝其他惡意 App 程式。
不用多久,受害的裝置就會布滿各種惡意程式:
某些經由此方式植入的 App 會偽裝成色情影片,但其實是騙人的。
騙人的看片神器
在趨勢科技發現的這批惡意程式當中,有四個家族是假冒成色情影片播放器。一旦使用者點選了其中任何一個影片,裝置就會發送高費率的簡訊到某個號碼,導致使用者電信帳單飆高。除此之外,使用者還會看到一個付款畫面。但使用者一旦付款,該程式就會再要求使用者支付更多。除了影片之外,也有一些色情文學也透過這類方式散布。以下就是趨勢科技所偵測到的這類惡意程式:
- AndroidOS_DownAdmin.HRX
- AndroidOS_Porner.OPS
- AndroidOS_Souying.HRX
- AndroidOS_Curious.HRX
圖 4:假冒色情影片播放器的惡意程式要求大約 3 美元的費用。
騙人的約會程式
除了前述幾個程式之外,還有一些騙人的約會程式。這些約會程式會顯示幾則「親切的」問候訊息,但這些訊息其實是來自背後的自動化程式。
使用者若信以為真而想要回覆這些訊息的話,程式就會要求使用者支付大約 16 美元的月費。
這就是趨勢科技所偵測到的 AndroidOS_LoveFraud.HRX 惡意程式。此一詐騙背後是一個大型約會網站。該網站的註冊程序相當簡單,甚至不用密碼、使用者名稱或地址。正因如此,該網站目前號稱擁有 1.9 億名會員,不過我們相信這應該是 App 程式的誇大之詞。
騙人的廣告
還有一個是不肖的遊戲,也就是趨勢科技偵測到的 AndroidOS_Liangou.HBT,它會在系統植入一個假的下載管理員。這個下載管理員會將自己註冊成 Android裝置管理員,以防止使用者輕易將它刪除(前面提到的 AndroidOS_DownAdmin.HRX 也會這麼做)。使用者若試圖停用此惡意程式,它就會將螢幕鎖住。
除了惡意程式之外,裝置也會被植入一些詐騙廣告。
以下是使用者裝置被安裝的惡意程式:
- AndroidOS_Durian.HBT
- AndroidOS_HHPlug.HBT
- AndroidOS_McsApp.HNT
- AndroidOS_SMSSnow.HRX
- AndroidOS_Youai.HBT
- AndroidOS_UUAd.HRX
那麼,到底是誰製作了這些假冒的色情網站和 App 程式?
此攻擊背後的網路犯罪集團會使用無意義的字來註冊網域以供其惡意服務使用,但過了一陣子之後,就會再換到別的網域和伺服器。不過,我們還是可以在已下載的惡意程式當中找到一些蛛絲馬跡。
其中一個程式就是我們偵測到的 AndroidOS_Souying.HRX,它會連上某個網址來下載更多惡意程式。這個網址所在網域屬於某個位於中國杭州的 App 行銷公司。該公司負責透過一些色情網站和程式來幫客戶散布 App 程式。
程式開發人員會僱用這家公司來幫他們散布程式。不過,該公司似乎沒有任何實質的審查機制,而他們自己的 App 也是騙人的色情影片。 而且,該公司的網站上目前仍有上千個惡意 App 程式。
此威脅的受害者並不僅限於中國地區,根據我們使用者的回報資料可以看出,台灣和日本的使用者也在受害之列,因為這兩地也有許多中文使用者。以下熱區圖顯示過去 30 天內遭此威脅危害的地區:
趨勢科技行動安全防護可以幫使用者把關,在應用程式安裝之前預先加以掃瞄。不過,可能的話,我們仍建議使用者盡量避免從 Google Play 以外的非官方應用程式商店下載程式。還有,受害的使用者有可能必須將裝置還原至出廠狀態才能徹底清除前述假冒裝置管理員的威脅。
以下是相關檔案的雜湊碼:
AndroidOS_Porner.OPS
- c2236c5c02da7efb502a372e46e7fc0d33673bfc
AndroidOS_Curious.HRX
- 4c0c74e4a240362e9ee603efab18e4f2266d4249
AndroidOS_Souying.HRX
- 573f44865809e3a1435a5438aa8d482b12186768
AndroidOS_LoveFraud.HRX
- 24b32b2a09eb3130584d8d0d35aa05e3952f2e8b
AndroidOS_Youai.HRX
- c77a21af5cfe7cd59797ee1eef4d712094264085
AndroidOS_DownAdmin.HRX
- 5e141f138f110db12c1d749ab2c984e5c86a46b5
AndroidOS_Liangou.HRX
- 0a2004080409d53f628794241a59e67880d6b2a7
AndroidOS_SMSSnow.HBT
- 085466c14e4dcf1690106352f0046bd2f6c1962f
AndroidOS_Durian.HRX
- fb0ff3f46ac73cf7c93e7cc2da00d6eeae3c36f2
AndroidOS_McsApp.HNT
- 563fe5c8b2cfc3b448d7c65d8fd5e24e45f9927b
AndroidOS_HHPlug.HRX
- 5adca9a5e44a216e123cd191ff42d25c4d87eee6
AndroidOS_UUAd.HRX
- 95a506cdbe887a86c1f35607ac69ae477d3417b0
原文出處: Pornographic-themed Malware Hits Android Users in China, Taiwan, Japan
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
