手機病毒 - 資安趨勢部落格

Google Play 再現惡意程式，Sockbot 可利用遭感染手機發動 DDoS 攻擊

2017 年 10 月 24 日2017 年 10 月 24 日趨勢科技 TrendMicro

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢，還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》，宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式，宣稱可讓玩家自訂其角色造型。不過，這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格：GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示，此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著，C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後，應用程式會再連上歹徒指定的另一個伺服器，該伺服器會提供一份廣告清單及相關資料 (如：廣告類型、螢幕大小)。然後，應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化，就可以用來攻擊網路相關的漏洞。而且，憑著 Sockbot 挾持裝置的能力，被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。繼續閱讀

Android用戶,你以為按下的是“確定”嗎? 當心Toast 覆蓋攻擊的隱藏按鈕,默默接管手機權限!

2017 年 09 月 15 日2017 年 09 月 15 日趨勢科技 TrendMicro

Android的Toast漏洞覆蓋（Overlay）攻擊, 將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

安全研究人員警告使用者關於可能導致Toast覆蓋（overlay）攻擊的Android漏洞。這種攻擊可能會誘騙使用者安裝惡意軟體，將圖像疊加在其他應用程式或行動裝置的控制和設定部分。

隱藏按鈕可以用來安裝惡意資料竊取應用程式，甚至是劫持螢幕和並鎖住使用者的勒索病毒

覆蓋攻擊是指惡意應用程式會在其他執行中的視窗或應用程式上再繪製一個視窗。漏洞攻擊成功可以讓攻擊者欺騙使用者去點擊惡意視窗。

這是什麼意思？比方說看似正常的“確定”或“繼續安裝”圖示可以顯示在偷偷取得權限的隱藏按鈕上。它也可以用來安裝惡意資料竊取應用程式，甚至是劫持螢幕和並鎖住使用者的勒索病毒。

[延伸閱讀：CVE-2017-0780：阻斷服務漏洞可能導致Android訊息應用程式崩潰]

這個覆蓋攻擊做了什麼？

覆蓋攻擊本身並不新，而且Android作業系統內的解決方案讓它難以進行。要加以利用的惡意應用程式必須先取得使用者許可，並且必須從Google Play安裝。

但最近的漏洞提供了能成功執行覆蓋攻擊的方法。它利用的是Toast的漏洞，Toast是Android用來在其他應用程式顯示通知和訊息的功能。該分析還借鑒了電機電子工程師協會（IEEE）在最近的黑帽（Black Hat）安全大會所發表的“Cloak and Dagger”研究報告。該研究展示如何利用Android輔助功能服務的警告和通知功能來進行覆蓋攻擊。

[延伸閱讀：Android 手機勒索病毒再進化-更大、更壞、更強!]

所有版本的Android都有此漏洞，Toast甚至可以覆蓋整個螢幕

所有版本的Android都有此漏洞，除了最新的Oreo。Android Nougat有個預防措施，就是Toast通知只能顯示3.5秒。但是這可以透過將通知循環顯示來繞過。這代表攻擊者可以想蓋住惡意內容多久都可以。此外，Toast不需要與Android其他視窗有相同的權限，甚至可以利用Toast來覆蓋整個螢幕。

[延伸閱讀：GhostClicker廣告軟體是一個幽靈般的Android點擊詐騙]

你能做什麼？保持作業系統和應用程式更新，只從官方Google Play或可信賴的來源下載

此漏洞（CVE-2017-0752）的修補程式在最近以2017年9月Android安全通告的一部分發布。研究人員指出他們尚未看到真實的攻擊出現，但這並不代表你不需要更新你的行動裝置。使用此方法的惡意應用程式,所需要的只是安裝在你的行動設備上,並取得輔助功能權限。繼續閱讀

這隻手機勒索病毒嫌棄沒有朋友的人,自動退出,不駭了

2017 年 08 月 05 日2017 年 12 月 08 日趨勢科技 TrendMicro

LeakerLocker 勒索病毒不加密檔案,但威脅洩漏手機個資

眾所皆知，勒索病毒 Ransomware (勒索軟體/綁架病毒)最主要的勒贖手段是將受害者的檔案加密 (如近期出現的 SLocker)，然而，最近卻出現了一個名為 LeakerLocker 的新形態手機勒索病毒會將受害者手機上的個人資料傳送至遠端伺服器然後要求受害人支付贖金，否則就將資料發送給通訊錄中的每一個人。

透過三個 Google Play上的應用程式散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)

這個 LeakerLocker 勒索病毒目前是透過三個 Google Play 商店上的應用程式來散布：「Wallpapers Blur HD」(散景桌布)、「Booster & Cleaner Pro」(系統優化清理程式) 以及「Calls Recorder」(電話錄音程式)。三個應用程式目前皆已被 Google Play 商店下架，趨勢科技將該病毒命名為：ANDROIDOS_LEAKERLOCKER.HRX。儘管並無證據顯示這些應用程式是由同一作者所撰寫，但這樣的可能性卻很高，因為它們全都散布同一個勒索病毒。除此之外，我們也在 Google Play 商店上發現一些名稱相似的應用程式，雖然我們仍不確定它們與前述惡意程式有何關聯，但我們已經將這些應用程式通報給 Google。

本文將深入探討前述名為「Calls Recorder」的應用程式說明一下這個 LeakerLocker 勒索病毒。

技術層面分析

我們很快地分析了一下 LeakerLocker 之後發現它的感染過程如下：

A quick glance at LeakerLocker reveals the following infection vector:

Figure 1: LeakerLocker infection diagram

圖 1：LeakerLocker 感染過程示意圖。

Calls Recorder 應用程式本身是經由 Google Play 下載，在本文發布時，該應用程式已經遭到下架，而我們也早已將前述應用程式通報給 Google。

圖 2：Google Play 商店上的「Calls Recorder」程式。

親友團不夠龐大，惡意程式將會自動退出

當「Calls Recorder」應用程式下載並安裝到使用者裝置之後，首先會查看手機上的聯絡人、相片、通話記錄等等來檢查其數量是否超過一定門檻。換句話說，若受害手機上沒有太多聯絡人、照片、通話記錄的話，惡意程式將會放棄而中止執行。

圖 3：檢查聯絡人、相片和通話記錄數量的程式碼。

每 15 分鐘察言觀色再行動

繼續閱讀

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

2016 年 10 月 07 日2016 年 10 月 06 日趨勢科技 TrendMicro

Android手機用戶請小心， Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒，恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長，趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service，簡稱 MARS) 截至 2016 年 8 月為止，已偵測到 1,660 萬個行動惡意程式，較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊，尤其，某個稱為「DressCode」的家族從四月份起便一直暗中持續散布，直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路，因此，若裝置連上的是企業網路，其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A，並且至少發現了 3,000 個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集，在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分，因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件，到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅，該公司也已採取適當行動，將受感染的應用程式下架。