天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音，讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本，被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。

經過研究，趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本（偵測為ANDROIDOS_TROJMMARKETPLAY.B）和其他樣本比起來，似乎是測試用的版本。我們發現許多測試資訊和代碼，留下讓我們可以找到幕後黑手的線索。

關閉付費彈出視窗,他下載影音等應用程式你買單

現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢，ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP，讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗，並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。

要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知

通常使用者會接到M-Market所傳來的確認簡訊，並要求回覆認證碼。不過在此案例中，惡意軟體會攔截並回覆簡訊，所以受害者並不會察覺。至於驗證碼圖片，惡意軟體會下載圖檔，並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定，包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本（偵測為ANDROIDOS_TROJMMARKETPLAY.A）比起來，這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。變種.B使用資料庫，變種.A則使用檔案來儲存驗證碼。此外，變種.A含有尋找付費影音的程式碼。

Android惡意軟體測試版本洩漏出網路犯罪分子的詳細資訊

趨勢科技認為ANDROIDOS_TROJMMARKETPLAY.B是測試版本，因為我們找到了測試代碼和顯示這惡意軟體幕後黑手的一些資訊。甚至在網址裡有虛擬IP地址，以及測試功能，包括發送簡訊功能。從這函數裡，我們發現了以下電話號碼：

{BLOCKED}32046
{BLOCKED}56246
{BLOCKED}30884

既然這惡意軟體是用來測試的，這些電話號碼就必然是網路犯罪份子所有。趨勢科技還發現這些號碼來自中國廣東省廣州市，但並沒有足夠的證據確認網路犯罪份子就位在這地方。另個有趣的事情是，我們看到代碼中有「yunkong」，而且出現很多次，這可能代表這惡意軟體背後特定的人或組織名稱。

號碼{BLOCKED}56246仍然為網路犯罪分子用來收發簡訊。經由對這些號碼的監控，趨勢科技可以找到更多關於幕後黑手的資訊。

同時，強烈建議使用者從第三方應用程式商店下載應用程式時要小心，因為可能會下載到惡意軟體。趨勢科技行動安全防護for Android中文版可以防護這些威脅，保護Android手機使用者，它可以偵測偽裝成正常應用程式的惡意軟體。想了解更多關於如何保護Android行動裝置以免中毒的資訊，可以參考下面的數位生活電子指南：

＠原文出處：Android Malware Family Downloads Paid Media and Apps作者：孫偉超（音譯）（行動威脅分析師）

@延伸閱讀:

[圖文解說]旅行中誰吸乾了你的智慧型手機電力?

安裝手機應用程式前要注意的三件事

2011下半年 Android 手機威脅月平均成長率高達 60%

惡意Android應用程式:看成人影片不付費,威脅公布個資

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體想竊聽他人手機當心被反竊聽
 你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩