Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢,還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》,宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式,宣稱可讓玩家自訂其角色造型。不過,這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格:GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示,此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著,C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後,應用程式會再連上歹徒指定的另一個伺服器,該伺服器會提供一份廣告清單及相關資料 (如:廣告類型、螢幕大小)。然後,應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化,就可以用來攻擊網路相關的漏洞。而且,憑著 Sockbot 挾持裝置的能力,被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。

[延伸閱讀:Xavier:Android 平台資訊竊取廣告程式庫]

Sockbot 的程式碼和一些重要的字串都經過加密編碼,因此不容易被偵測。研究人員認為這些應用程式應該是由一位化名為「FunBaster」的駭客所開發,而且為了避開靜態檔案分析偵測技術,每個應用程式都採用不同開發人員的數位簽章來簽署。

從 DressCode Android 惡意程式的案例我們可以看到大型殭屍網路如何利用已遭入侵的裝置發動 DDoS 攻擊。
從 DressCode Android 惡意程式的案例我們可以看到大型殭屍網路如何利用已遭入侵的裝置發動 DDoS 攻擊。

[延伸閱讀:Android 手機勒索病毒:更大、更壞、更強?]

Socksbot 並非第一個利用 SOCKS 通訊協定或 Android 應用程式來賺錢的惡意程式。2016 年 9 月出現的 DressCode 惡意程式同樣也是使用 SOCKS 代理器來連上企業內部網路上受感染的行動裝置。到了 2017 年 4 月,MilkyDoor 惡意程式又將此技巧發揚光大,透過 SOCKS 通訊協定以及代理器來對受感染裝置所在的網路進行情蒐,尋找有漏洞可攻擊的服務和網路。MilkyDoor 更藉由 Secure Shell (SSH) 通道來達成遠端連接埠轉發 (remote port forwarding) 功能,如此,惡意程式就能經由加密的管道進行通訊和發送惡意檔案。

[延伸閱讀:信任遭到濫用的案例:第三方應用程式商店濫用 Apple 開發者企業方案來散布廣告程式]

DressCode 至少感染了 3,000 個應用程式 (將其木馬化),而且其中有 400 在 Google Play 商店上架。此外,研究人員也發現了 200 個感染 MilkyDoor 的 Android 應用程式,其中一個甚至在 Google Play 商店上累積了 50 萬至 100 萬次下載。DressCode 和 MilkyDoor 也和 Socksbot 一樣,都是冒充休閒應用程式:遊戲以及遊戲的修改程式、外觀套件、主題,以及手機優化程式、Doodle、風格指南、兒童電子書等等。這些應用程式很可能是遭到歹徒木馬化並重新包裝,然後在 Google Play 重新上架。

MilkyDoor 的攻擊時還會穿越防火牆。
MilkyDoor 的攻擊時還會穿越防火牆。

的確,由於這類惡意程式可能帶來嚴重的後果,因此確保行動裝置安全 是企業的當務之急。尤其是實施個人自備裝置 (BYOD) 政策的企業,除了維持企業營運彈性之外,還要兼顧隱私和安全。以下是幾項企業應特別注意的最佳實務原則:

  1. 部署並啟用防火牆,防止內部系統經由一些不尋常的連接埠來建立通訊,如此可以防範 Socksbot、DressCode 和 MilkyDoor 等這類濫用 SOCKS 通訊協定的惡意程式。
  2. 徹底實施最低授權原則,讓駭客無法輕易進入企業內部網路。
  3. 採取更嚴密的修補更新管理措施。
  4. 隨時修補作業系統與應用程式並保持更新。由於 Android 的修補程式需仰賴手機廠商釋出更新,因此使用者應隨時檢查廠商是否已推出更新。
  5. 避免使用不安全的連線,當從遠端連回公司網路存取資料時,務必透過虛擬私人網路 (VPN) 連線。

趨勢科技解決方案

一般使用者和企業可採用一套多層式的行動安全防護來保護行動裝置,例如:趨勢科技行動安全防護。 趨勢科技企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還有偵測並攔截惡意程式和詐騙網站。趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可利用先進的沙盒模擬分析與機器學習技術來防範 Android 及 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

原文出處:Sockbot Malware Found on Google Play can Ensnare Devices to a DDoS Botnet