Skip to main content

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。

 

 

 

 

 

 

 

 

 

經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。

 關閉付費彈出視窗,他下載影音等應用程式你買單

現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。

使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者因為不想要的應用程式和影音而花錢

 

要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知

通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

解碼伺服器的位置放在設定檔內 - yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。

Android惡意軟體測試版本洩漏出網路犯罪分子的詳細資訊

 

趨勢科技認為ANDROIDOS_TROJMMARKETPLAY.B是測試版本,因為我們找到了測試代碼和顯示這惡意軟體幕後黑手的一些資訊。甚至在網址裡有虛擬IP地址,以及測試功能,包括發送簡訊功能。從這函數裡,我們發現了以下電話號碼:

 

ANDROIDOS_TROJMMARKETPLAY.B是測試版本,因為我們找到了測試代碼和顯示這惡意軟體幕後黑手的一些資訊。甚至在網址裡有虛擬IP地址,以及測試功能,包括發送簡訊功能

 

  • {BLOCKED}32046
  • {BLOCKED}56246
  • {BLOCKED}30884

 

既然這惡意軟體是用來測試的,這些電話號碼就必然是網路犯罪份子所有。趨勢科技還發現這些號碼來自中國廣東省廣州市,但並沒有足夠的證據確認網路犯罪份子就位在這地方。另個有趣的事情是,我們看到代碼中有「yunkong」,而且出現很多次,這可能代表這惡意軟體背後特定的人或組織名稱。

 

號碼{BLOCKED}56246仍然為網路犯罪分子用來收發簡訊。經由對這些號碼的監控,趨勢科技可以找到更多關於幕後黑手的資訊。

 

同時,強烈建議使用者從第三方應用程式商店下載應用程式時要小心,因為可能會下載到惡意軟體。趨勢科技行動安全防護for Android中文版可以防護這些威脅,保護Android手機使用者,它可以偵測偽裝成正常應用程式的惡意軟體。想了解更多關於如何保護Android行動裝置以免中毒的資訊,可以參考下面的數位生活電子指南:

 

 

@原文出處:Android Malware Family Downloads Paid Media and Apps作者:孫偉超(音譯)(行動威脅分析師)

 

@延伸閱讀:

[圖文解說]旅行中誰吸乾了你的智慧型手機電力?

安裝手機應用程式前要注意的三件事

2011下半年 Android 手機威脅月平均成長率高達 60%

惡意Android應用程式:看成人影片不付費,威脅公布個資

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

中國第三方應用商店提供下載的手機間諜軟體 想竊聽他人手機 當心被反竊聽
你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

 

 

趨勢科技行動安全防護 for Android(手機 平板)

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊 趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

◎ 歡迎加入趨勢科技社群網站