Skip to main content

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。

圖 2:惡意程式碼內部結構。

DressCode 木馬化應用程式可能帶來哪些威脅

木馬化應用程式一旦進入裝置,DressCode 就會連線至幕後操縱 (C&C) 伺服器。在舊版的惡意程式中,作者將 C&C 伺服器的 IP 位址寫死在程式當中,但現在已經將 IP 位址改成網域名稱。它會透過某個背景服務建立一個 TCP 連線至 C&C 伺服器,並發送一個「HELLO」問候訊息來向伺服器註冊。接著,C&C 伺服器會回覆一道指令:「CREATE, <Attacker IP>, <Port>」給裝置,由裝置建立一個連線到駭客端。如此,裝置就能經由 SOCKS 通訊協定來接收駭客的指令。

此外,受感染的裝置還可當成代理器 (Proxy) 讓駭客透過裝置入侵裝置所在網路上的伺服器,等於開啟了一條通訊管道。由於行動裝置是位於路由器後方,因此須由裝置主動建立 TCP 連線至 C&C 伺服器,然後再另外建立一個 TCP 連線至駭客。當 SOCKS 代理器這條管道建立起來之後,就能將駭客的命令轉發到區域網路 (LAN) 當中的其他伺服器。如此一來駭客就能連上伺服器,即使是路由器後方的內部伺服器也能辦到。

 

圖 3:從 C&C 伺服器接收命令。

圖 4:在駭客與內部伺服器之間架設 SOCKS 代理器來轉發通訊流量。

受駭裝置成攻擊所在網路環境跳板, 實施個人自備裝置 (BYOD)的企業風險增高

這條通用的通訊管道可提供多重用途,因此不但裝置的使用者、就連裝置所連上的網路也都暴露在風險當中。

  • 經由這個惡意程式,駭客就能入侵使用者所在的網路環境。若遭感染的裝置連上企業網路,駭客就能越過 NAT 裝置攻擊內部伺服器,或竊取敏感資料,將受感染的裝置當成跳板。
    隨著越來越多企業實施個人自備裝置 (BYOD) 計畫,企業將更容易因為員工毫無節制的行動裝置使用習慣而暴露於風險。根據趨勢科技的資料,82% 的企業都已實施 BYOD 計畫或允許員工在工作上使用個人裝置。儘管這類計畫可提高員工生產力,但卻也讓企業暴露在 DressCode 這類惡意程式的危險。

圖 5:受感染的行動裝置能讓駭客越過 NAT 裝置攻擊內部伺服器。

 


受駭裝置會變成一個個殭屍電腦,集合許多裝置就能發動DDoS和散發垃圾郵件
惡意程式會在裝置上安裝一個 SOCKS 代理器,建立一個通用的通訊管道來掌控並下命令給裝置。這等於將裝置變成一個個殭屍電腦,集合許多裝置就能形成可用於各種攻擊的「Botnet傀儡殭屍網路」,如:分散式阻斷服務攻擊 (DDoS)垃圾郵件(SPAM)散發行動

圖 6:大型殭屍網路可針對企業機構發動強大的 DDoS 攻擊。


受感染的行動裝置可連上家用網路上的其他裝置, 駭客可取得視訊並加以錄影

  • 此外,受感染的行動裝置還可被用於連上家用網路上的其他裝置。當家用路由器的密碼強度不足時,駭客就可輕易查出網路上其他裝置的 IP 位址,進而加以掌控。例如,家用路由器所連接的 IP 攝影機就很可能遭到掌控,進而讓使用者陷入隱私外洩的危險,駭客可取得視訊並加以錄影。

圖 7:IP 攝影機之類的裝置遭駭客入侵已成為一項隱私權隱憂。

五招防範手機病毒

雖然 DressCode 的感染方式和行為並不特殊,但遭其木馬化的應用程式在正派應用程式商店上的數量相當驚人。為了因應日益嚴重的威脅,以下是一些防範惡意程式感染您裝置的安全祕訣:

  1. 檢查您的應用程式。在您下載一個新的應用程式之前,請確認它來自正派的應用程式商店。查看網路上和下載頁面上的評價,並且先做一番功課來確認它不是惡意應用程式。
  2. 定期更新。請務必更新您的作業系統,安裝最新的修補程式可確定新發現的漏洞皆已修補。
  3. 了解裝置解鎖 (root) 的風險。解鎖裝置會移除裝置廠商所設置的安全限制與保護,這會使得系統更容易遭到惡意程式和其他惡意程式碼攻擊。
  4. 避免連上無安全性的 Wi-Fi。如此可以降低駭客暗中連上您手機的風險。此外,請務必關閉裝置自動連上可用 Wi-Fi 網路的設定。
  5. 使用虛擬私人網路 (VPN)若您必須連上公共 Wi-Fi 網路,請務必使用 VPN 來保護您的網際網路連線,將您收發的資料加密。

此外,使用者也應採用一套多層式行動安全防護解決方案來保護自己。這套產品可提供惡意程式攔截功能,防止應用程式商店上的惡意程式安裝到您的裝置,避免您的裝置和資料受到損害。此外,企業也應投資一套優良的行動裝置管理解決方案。趨勢 Safe Mobile Workforce™ 可提供虛擬化行動基礎架構,讓企業資料安全地儲存在企業伺服器上,與個人應用程式及資料分離。

趨勢科技在美國、法國、以色列、烏克蘭等地皆已發現感染企業使用者的樣本,而且在其他國家偵測到的更多。趨勢科技 Mobile Security for Enterprise (行動安全防護企業版),即可協助企業成功防範這類威脅。這套解決方案內含裝置管理、資料防護、應用程式管理、遵規管理、組態配置以及其他功能,讓員工在隱私與安全,以及 BYOD 計畫所帶來的彈性與額外生產力之間取得平衡。

以下是 ANDROIDOS_SOCKSBOT.A 相關檔案的 SHA1 雜湊碼:

  • 2ae29110c34efea0dedfa4d7d48055c4b8deaaa2
    • 997d7978eb825111f62b6dfd00e26d952adac8c0
    • cc2ebbcab305ffd52b18df7d61b35abd6abf7681
    • 3c0182486e701d7d85641c6dc5ef1be79dcaa151
    • 66824215afa64ea28a1956ad9be635c8a65b425a
    • b48814f4c9e91a55d2b5b51313180ba105112022
    • 12be3c11b3006ece729a49718384b135bff0aacd
    • 3eeba05a2c15442422a70c67abaeb90062ac531d
    • 5a2189ba300076f8370945ef854ddc7de1eb437c
    • c36e87c2462ff4480a66a034646c220f76307379
    • 6047d7271af3f629595e92a5e43722da19eee5ac
    • 9de174e5883dc4ff34f10e5cb071775552a3caf2

2016 年 9 月 29 日上午 08:50 (UTC-7) 更新 

更新 TCP 連線相關細節。

2016 年 10 月 4 日上午 01:02 (UTC-7) 更新

更新趨勢科技在發布前預先通知 Google Play 商店以及 Google Play 因應措施的相關資訊。
原文出處:DressCode and its Potential Impact for Enterprises 作者:Echo Duan (行動裝置威脅回應工程師)

 

 

PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載

 

Windows10Banner-540x90v5

 

 

1200x627-fb_2

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數