<惡意Android app>手機一直顯示”充電中~” 其實是下載的假太陽能充電應用程式默默在偷個資

ANDROIDOS_CONTACTS.E 惡意程式資料竊取行為分析

有一款假太陽能充電應用程式,用假正面評價騙取下載,卻附贈偷資料病毒:ANDROIDOS_CONTACTS.E 惡意程式。本文將深入探討該程式的運作方式以及歹徒如何從中獲利。

此次分析我們將選定「Solar Change」(太陽能充電) 這個 App 程式來做說明。我們發現這個 Android App 程式 (也就是我們偵測到的 ANDROIDOS_CONTACTS.E) 會從受感染的裝置蒐集一些聯絡資訊,如:電子郵件地址。駭客取得這些聯絡資訊之後,就能將這些資訊賣給一些專門從事犯罪攻擊或散發垃圾郵件的集團。

當使用者安裝這個 App 程式時,裝置會顯示該程式所要求開放的權限。若您仔細查看這些權限就會發現,該程式也要求取得裝置上儲存的詳細聯絡人資料及帳號清單。

「Solar Change」(太陽能充電) 這個 App會要求開放的權限
「Solar Change」(太陽能充電) 這個 App會要求開放的權限

 

權限

功能

android.permission.READ_CONTACTS

允許 App 程式讀取使用者的聯絡人資料

android.permission.BATTERY_STATS

允許 App 程式蒐集電池相關統計數據

android.permission.INTERNET

允許 App 程式建立網際網路連線

android.permission.READ_PHONE_STATE

開放手機狀態的唯讀權限

android.permission.GET_ACCOUNTS

允許存取「帳戶服務」當中的帳戶清單

不幸的事,這些權限一旦開放,就會讓 App 程式取得某些詳細資料,並且傳送給專門散發垃圾郵件的集團。

「Solar Charge」這個應用程式不僅會要求開放聯絡資料與帳戶服務的存取權限之外,此應用程式本身根本就沒有作用。它只會一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。在假裝充電時,還會出現另一個訊息說您的裝置不適用該程式。

就在假裝充電的過程當中,此 App 程式其實正試圖竊取使用者裝置上的詳細聯絡資訊和 Gmail 帳戶清單,然後傳送至遠端的某個伺服器。

「Solar Charge」一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。
「Solar Charge」一直顯示「Charging」(充電中) 的訊息,並且假裝正在使用太陽能幫電池充電。

趨勢科技在分析此 App 程式時,我們發現了這些專門竊取個人資訊 (如:聯絡人和電子) 的程式碼。

專門竊取個人資訊 (如:聯絡人和電子) 的程式碼。
專門竊取個人資訊 (如:聯絡人和電子) 的程式碼

 

Solar Charge 程式和遠端伺服器的通訊內容
Solar Charge 程式和遠端伺服器的通訊內容

上方螢幕擷取畫面顯示 Solar Charge 程式和遠端伺服器的通訊內容。我們可以看到,此 App 程式會試圖將蒐集到的電話號碼傳送至「myid=080{已遮蓋處理}」這個位址。我們也發現,接在「frdata=」這個參數後面的是程式蒐集來的聯絡資訊,採用 URL 方式編碼。

根據趨勢科技解碼的結果,我們發現程式會將姓名、電話及電子郵件地址傳送到某個遠端伺服器。

以下是 ANDROIDOS_CONTACTS 惡意 App 程式家族的一些 HTTP 遠端通訊伺服器。

ANDROIDOS_CONTACTS 惡意 App 程式家族的一些 HTTP 遠端通訊伺服器。
ANDROIDOS_CONTACTS 惡意 App 程式家族的一些 HTTP 遠端通訊伺服器。

此 App 程式背後的歹徒可能會使用多個不同國家的伺服器來躲避追查。此外,一旦發現某個伺服器遭到封鎖,他們就會迅速換上另一台伺服器。

通訊資料每一筆賣 0.14 至 1.5 日圓

那麼,接下來最大的問題是,為何歹徒要不斷利用惡意 App 程式來竊取聯絡資訊呢?我們可以歸納出二個原因:

第一,他們將這些偷來的聯絡人加入他們的垃圾郵件散發清單當中。

第二,他們也會將偷來的資料賣給其他偏好「新鮮」名單的集團,例如一些交友網站。這些帳號都是整批販售,一批大概包含幾萬筆帳號。每一帳號的價格大約在 0.14 至 1.5 日圓不等。

趨勢科技的客戶不必擔心,因為趨勢科技行動安全防護for Android中文版已可偵測這些 ANDROIDOS_CONTACTS.E 惡意程式。不過為了預防起見,在安裝 App 程式之前,使用者務必查看程式所要求開放的權限為何,因為有些權限可能導致不當的資訊外洩。若要進一步了解如何保護行動裝置資料安全,您可以參考以下我們提供的數位生活 e 指南:

·         Android – 更潮就更危險!六個Android 主要威脅與安全守則

·         當 Android 應用程式要求的權限超過實際所需時

·         保護你的Android智慧型手機5步驟

 

◎原文來源: Digging Deeper Into ANDROIDOS_CONTACTS.E’s Data Stealing Routines作者:Noriaki Hayashi (資安威脅高級研究員)

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

·         美國 2012 年總統大選 App 程式可能導致資料外洩

·         <惡意Android app>假太陽能充電應用程式,用假正面評價騙取下載,附贈偷資料病毒

·         駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

雲端有多安全?7 個雲端數位生活自保守則

·         164個仍在線上的Android廣告軟體,其中有專發送簡中的限制級廣告

·         以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

·         熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

·         Android – 更潮就更危險!六個Android 主要威脅與安全守則

·         天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

·          安裝手機應用程式前要注意的三件事

2011下半年 Android 手機威脅月平均成長率高達 60%

惡意Android應用程式:看成人影片不付費,威脅公布個資

假星巴克Starbucks 網路問卷騙局,要求利用Facebook和Twitter 分享, 換取的禮物竟是手機簡訊費

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

手機變成落湯”機”頭號兇手:馬桶!手機遭非惡意遺棄頭號地點:公車 !

你沒被告知的手機應用程式與資料外洩

《山寨版免費Android App》Instagram和Angry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

電腦病毒與手機/平板電腦病毒的五個共通點

惡意Android應用程式:看成人影片不付費,威脅公布個資

<看更多手機病毒/行動威脅>

FB_banner0331-2

 

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
PC-cillin 2013 雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用
◎即刻加入趨勢科技社群網站,精彩不漏網