ANDROIDOS_CONTACTS.E 惡意程式資料竊取行為分析
有一款假太陽能充電應用程式,用假正面評價騙取下載,卻附贈偷資料病毒:ANDROIDOS_CONTACTS.E 惡意程式。本文將深入探討該程式的運作方式以及歹徒如何從中獲利。
此次分析我們將選定「Solar Change」(太陽能充電) 這個 App 程式來做說明。我們發現這個 Android App 程式 (也就是我們偵測到的 ANDROIDOS_CONTACTS.E) 會從受感染的裝置蒐集一些聯絡資訊,如:電子郵件地址。駭客取得這些聯絡資訊之後,就能將這些資訊賣給一些專門從事犯罪攻擊或散發垃圾郵件的集團。
當使用者安裝這個 App 程式時,裝置會顯示該程式所要求開放的權限。若您仔細查看這些權限就會發現,該程式也要求取得裝置上儲存的詳細聯絡人資料及帳號清單。
權限 |
功能 |
android.permission.READ_CONTACTS |
允許 App 程式讀取使用者的聯絡人資料 |
android.permission.BATTERY_STATS |
允許 App 程式蒐集電池相關統計數據 |
android.permission.INTERNET |
允許 App 程式建立網際網路連線 |
android.permission.READ_PHONE_STATE |
開放手機狀態的唯讀權限 |
android.permission.GET_ACCOUNTS |
允許存取「帳戶服務」當中的帳戶清單 |
不幸的事,這些權限一旦開放,就會讓 App 程式取得某些詳細資料,並且傳送給專門散發垃圾郵件的集團。
「Solar Charge」這個應用程式不僅會要求開放聯絡資料與帳戶服務的存取權限之外,此應用程式本身根本就沒有作用。它只會一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。在假裝充電時,還會出現另一個訊息說您的裝置不適用該程式。
就在假裝充電的過程當中,此 App 程式其實正試圖竊取使用者裝置上的詳細聯絡資訊和 Gmail 帳戶清單,然後傳送至遠端的某個伺服器。
當趨勢科技在分析此 App 程式時,我們發現了這些專門竊取個人資訊 (如:聯絡人和電子) 的程式碼。
上方螢幕擷取畫面顯示 Solar Charge 程式和遠端伺服器的通訊內容。我們可以看到,此 App 程式會試圖將蒐集到的電話號碼傳送至「myid=080{已遮蓋處理}」這個位址。我們也發現,接在「frdata=」這個參數後面的是程式蒐集來的聯絡資訊,採用 URL 方式編碼。
根據趨勢科技解碼的結果,我們發現程式會將姓名、電話及電子郵件地址傳送到某個遠端伺服器。
以下是 ANDROIDOS_CONTACTS 惡意 App 程式家族的一些 HTTP 遠端通訊伺服器。
此 App 程式背後的歹徒可能會使用多個不同國家的伺服器來躲避追查。此外,一旦發現某個伺服器遭到封鎖,他們就會迅速換上另一台伺服器。
通訊資料每一筆賣 0.14 至 1.5 日圓
那麼,接下來最大的問題是,為何歹徒要不斷利用惡意 App 程式來竊取聯絡資訊呢?我們可以歸納出二個原因:
第一,他們將這些偷來的聯絡人加入他們的垃圾郵件散發清單當中。
第二,他們也會將偷來的資料賣給其他偏好「新鮮」名單的集團,例如一些交友網站。這些帳號都是整批販售,一批大概包含幾萬筆帳號。每一帳號的價格大約在 0.14 至 1.5 日圓不等。
趨勢科技的客戶不必擔心,因為趨勢科技行動安全防護for Android中文版已可偵測這些 ANDROIDOS_CONTACTS.E 惡意程式。不過為了預防起見,在安裝 App 程式之前,使用者務必查看程式所要求開放的權限為何,因為有些權限可能導致不當的資訊外洩。若要進一步了解如何保護行動裝置資料安全,您可以參考以下我們提供的數位生活 e 指南:
· Android – 更潮就更危險!六個Android 主要威脅與安全守則
· 當 Android 應用程式要求的權限超過實際所需時
· 保護你的Android智慧型手機5步驟
◎原文來源: Digging Deeper Into ANDROIDOS_CONTACTS.E’s Data Stealing Routines作者:Noriaki Hayashi (資安威脅高級研究員)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
◎延伸閱讀
· 美國 2012 年總統大選 App 程式可能導致資料外洩
· <惡意Android app>假太陽能充電應用程式,用假正面評價騙取下載,附贈偷資料病毒
· 駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中
雲端有多安全?7 個雲端數位生活自保守則
· 164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告
· 以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能
· 熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大
· Android – 更潮就更危險!六個Android 主要威脅與安全守則
· 天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費
· 安裝手機應用程式前要注意的三件事
2011下半年 Android 手機威脅月平均成長率高達 60%
惡意Android應用程式:看成人影片不付費,威脅公布個資
假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費
會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu
智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢
手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !
你沒被告知的手機應用程式與資料外洩
《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增
Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式
電腦病毒與手機/平板電腦病毒的五個共通點
惡意Android應用程式:看成人影片不付費,威脅公布個資
<看更多手機病毒/行動威脅>
手機防毒不可不知 (蘋果動新聞 有影片)
TMMS 3.75 Stars in PC World AU