Android - 資安趨勢部落格

木馬程式不當取得用戶個資 Android裝置又有惡意程式

2017 年 06 月 16 日2017 年 06 月 16 日趨勢科技TrendMicro

趨勢科技資安團隊偵測Android平台時發現廣告木馬程式Xavier內嵌在逾800個手機App中，全數共累積數百萬人次下載，並利用這些App暗中竊取用戶個資。

駭客利用Xavier蒐集和洩漏用戶的裝置資料，硬體面包括製造商、SIM卡製造商、產品名稱裝置ID等，個人化設定像是裝置名稱、使用語言、作業系統版本、已安裝應用程式、Google Play帳號，以及最常使用的電子郵件地址等。除了盜取資訊外，資訊攻擊已進化到讓駭客可以遠端鎖定你的行動裝置並安裝其他應用程式套至裝置內部，造成用戶難以察覺中毒。大多數下載遭Xavier感染App的用戶，都來自東南亞國家。繼續閱讀

《資安漫畫》行動裝置也有資安漏洞 ! 三個好習慣掌握個資安全

2017 年 03 月 20 日2017 年 03 月 09 日趨勢科技 TrendMicro

繼續閱讀

Android 行動裝置威脅:Root 改機惡意程式和漏洞攻擊,隨著漏洞數量增加而趁勢崛起

2017 年 03 月 03 日2017 年 03 月 06 日趨勢科技 TrendMicro

趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止，我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬，較 2015 年的 1,070 萬有著飛躍性成長。

就全球來看，目前最普遍的是漏洞攻擊和惡意的 Root 改機程式。

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務，以及 Smart Protection Network™ 全球威脅情報網的統計，2016 年，我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞，可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中，有 10 個以上可用來駭入系統執行程序，或者用於駭入系統核心。例如，核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞，可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制。

其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有 Dirty COW (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter，全都可能讓駭客取得裝置的系統管理 (root) 權限。

隨著更多資安漏洞被發現，Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞，該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後，該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是使用一個開放原始碼 Root 改機套件，該套件收錄了多種漏洞攻擊程式碼。截至六月為止，已有超過 850,000 台 Android 裝置受害，目前已有超過 79,780 個變種在網路上流傳。

另外還有 Ghost Push，其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中，目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月，目前已有 1,163 個變種，它會對受害的裝置進行改機 (Root)，並偷偷下載及安裝其他應用程式，同時竊取使用者的資料。

Android 版趨勢科技行動安全防護 (請至 Google Play 商店下載)

有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單，請參考這份文件的「附錄」一節。

原文出處：In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope

五大行動裝置勒索病毒家族,成長率屢創新高

2017 年 02 月 17 日2017 年 02 月 13 日趨勢科技 TrendMicro

行動裝置勒索病毒在 2016 年大爆發，光我們 2016 年第四季所蒐集分析的樣本數量就是 2015 年同期的三倍。但儘管數量驚人，這些惡意程式的犯罪模式卻大同小異：濫用、誘騙、恐嚇、勒索。其中絕大部分都是濫用 Android 作業系統功能的螢幕鎖定程式，以及運用社交工程（social engineering ）技巧的偽系統更新、偽熱門遊戲與色情內容。這些程式會誘騙不知情使用者提供系統權限，進而修改裝置鎖定畫面的密碼，讓使用者無法將它解除安裝。

圖 3：行動裝置勒索病毒樣本數量比較 (2015 年與 2016 年)。

根據f趨勢科技的偵測和分析，行動勒索病毒大致可歸納出下列五大家族：

SMSLocker (ANDROIDOS_SMSLOCKER)Svpeng (ANDROIDOS_SVPENG)
SMSLocker（偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER）是現今Android勒索病毒的開端。最初它沒有使用加密技術，只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密，所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制（C&C）通訊；有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備
Svpeng
SMSLocker (SLocker 其中一代) 和 Svpeng 則是專門假冒網路銀行程式的木馬程式，歹徒會經由幕後操縱 (C&C) 指令來將裝置鎖住並勒索贖金。
2016 年最受矚目的Svpeng (銀行木馬程式與勒索病毒的合體)，在我們所發現的銀行木馬感染與攻擊案例當中，約有 67% 都是 Svpeng。
2016 年 9 月是 Svpeng 出現的高峰期，偵測數量高達 80,000 以上。Svpeng 會竊取手機上的簡訊、通訊錄、通話記錄以及瀏覽器歷程記錄，同時還會利用網路釣魚手法騙取使用者的信用卡資料，並且會鎖定裝置畫面，然後勒索贖金。由於 Svpeng 主要以俄羅斯的銀行為目標，因此受害最深的自然是俄文的使用者，尤以俄羅斯、烏克蘭和羅馬尼亞最為嚴重。
FLocker/Frantic Locker (ANDROIDOS_FLOCKER)
FLocker 在 2016 年第一季末首度現身，能跨界感染智慧型電視，並於 2016 年不斷肆虐日本，該地在四月份所偵測到的 FLocker 樣本數量超過 32,000 個以上。
SLocker/Simple Locker (ANDROIDOS_SLOCKER)
2016 年 8 月，某個 SLocker 變種 (AndroidOS_Slocker.AXBDA) 在印尼大量散布，該國在這段期間出現了大量的假音樂視訊播放程式。
Koler (ANDROIDOS_KOLER)
SLocker 和 Koler 已知會假冒司法機關，宣稱受害者觸犯了某種法律，藉此脅迫他們支付一筆贖金。

繼續閱讀

用 KGDB 來替 Android 除錯的實用技巧

2017 年 02 月 08 日2017 年 02 月 06 日趨勢科技 TrendMicro

內核（Kernel）除錯功能讓資安研究人員在進行分析時能夠監視和控制設備。在Windows、macOS和Linux等桌面平台上，這很容易進行。但要在Android設備（如Google Nexus 6P）上進行內核除錯則困難得多。在本文中，將介紹一種在Nexus 6P和Google Pixel上進行內核除錯的方法而無須特製的硬體。

Joshua J. Drake和Ryan Smith為此目的打造了一條UART除錯線，效果很好。然而對於不擅長製作硬體的人（像是筆者這樣的軟體工程師）來說，這可能很困難。而替代方案是透過serial-over-usb通道來進行內核（Kernel）除錯也是可行的。

這個方法可以追溯到2010年，這表示部分介紹已經過時。但我發現的作法可以利用其關鍵要點，然後用在今日的Android設備上。讓研究人員可以使用除錯功能來確認CPU執行的當前狀態，讓分析更加快速。那該如何進行？

Android是用Linux內核打造的，其中包含了內建的內核除錯程式KGDB。KGDB依靠串列埠來連接除錯設備和目標設備。正常情況如下：