資安趨勢部落格 – 第 147 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

多款超人氣 APP,偽裝 VPN、健身、相片編輯、挖礦等應用程式,竊取登入憑證與加密貨幣金鑰,還會私吞100 美金

2022 年 05 月 19 日2022 年 10 月 03 日趨勢科技 TrendMicro

下載免費 APP, Facebook 帳號竟被冒名進行網路釣魚詐騙、散發假貼文…最近趨勢科技發現惡名昭彰的 Facestealer 間諜程式在 Google Play 上再度利用 200 多款冒牌應用程式竊取使用者的 Facebook 登入憑證。
另外也發現了 40 多個冒牌的虛擬加密貨幣挖礦( coinmining )程式，宣稱提供虛擬加密貨幣的賺錢機會,誘騙使用者購買付費服務或點選廣告。除了引誘受害者購買假的雲端挖礦服務，還會試圖利用一些誘餌來騙取使用者的私密金鑰及其他虛擬加密貨幣相關的機敏資料。

行動裝置使用者可採用趨勢科技行動安全防護來降低這類冒牌應用程式的威脅，這套軟體可即時或隨選掃描行動裝置，偵測不肖的應用程式或惡意程式，並將它們封鎖或移除，這套軟體在 Android 或 iOS 平台都有對應的版本。請到這裡下載

最近我們發現 Google Play 上有多款應用程式專門竊取使用者的登入憑證和其他機敏資訊，例如私密金鑰。由於這些應用程式為數眾多且相當熱門 ,有的甚至累積數十萬次下載,或是擁有 4.5 顆星評價。另外還有冒牌挖礦程式,藉著捏造假評價宣稱已領到網站空投的 0.1 乙太幣(約 240 美元),藉以騙取錢包中的 100 美金,並進一步蒐集私密金鑰與助記詞。

以下我們深入研究幾個跟健身、相片編輯、濾鏡還有挖礦程式有關的惡意應用程式:

Daily Fitness OL
Enjoy Photo Editor
Panorama Camera
Photo Gaming Puzzle
Swarm Photo
Business Meta Manager
Cryptomining Farm Your own Coin

專門竊取密碼的 Facestealer 間諜程式變種偽裝成健身、相片編輯等 200 多個應用程式

Facestealer 間諜程式最早是在 2021 年的一篇文章當中所披露，該文章詳細描述它如何在 Google Play 上利用冒牌應用程式竊取使用者的 Facebook 登入憑證。這些被偷的登入憑證將用來登入受害者的 Facebook 帳號以從事各種惡意活動，如：網路釣魚詐騙、散發假貼文、散發廣告。如同另一個名為「Joker」的行動惡意程式一樣，Facestealer 會經常修改程式碼，進而製造出許多變種。這個間諜程式從被發現以來，一直是 Google Play 的頭痛問題。

近期我們在研究行動惡意程式時發現了 200 多個 Facestealer 的冒牌應用程式，並已收錄到趨勢科技行動應用程式信譽評等服務 (MARS) 資料庫當中。

繼續閱讀

你的按鍵被監控了嗎?什麼是鍵盤側錄器（keylogger）? 鍵盤側錄器進入電腦的四個管道

2022 年 05 月 18 日2022 年 05 月 18 日趨勢科技 TrendMicro

鍵盤側錄器（keylogger, keystroke logger或keyboard capturer）是一種用來監視並記錄你在鍵盤上鍵入內容的軟體或硬體。在這篇文章中，我們會深入探討你需要了解的所有相關資訊，並教你如何保護自己來避免受到它的侵害！

鍵盤側錄器是病毒嗎？

鍵盤側錄器原本是為了合法目的而設計。最初是用於電腦故障排除、員工活動監控，或為了找出使用者如何與程式互動以加強使用者體驗。但後來卻成為駭客和犯罪分子用來竊取使用者名稱、密碼、銀行帳戶資訊及其他機密資訊等敏感資料的工具。

繼續閱讀

挖礦攻擊對 DevOps 團隊的衝擊

2022 年 05 月 17 日2022 年 05 月 11 日趨勢科技 TrendMicro

了解虛擬加密貨幣挖礦( coinmining )攻擊對 DevOps 的衝擊以及該如何防範才不會影響上市時程。

何謂虛擬加密貨幣挖礦？

不肖的虛擬加密貨幣挖礦是指網路犯罪集團利用系統的漏洞、強度太弱的登入憑證或組態設定錯誤來駭入系統，進而使用系統的運算效能來生產虛擬加密貨幣。

DevOps 與虛擬加密貨幣挖礦

儘管勒索病毒的話題正夯，但虛擬加密貨幣挖礦同樣也是一種後果嚴重的網路攻擊。還記得 Apache Log4j (Log4Shell) 漏洞嗎？說實在的，應該沒人會不記得，但這個重大漏洞最常被駭客利用的情況，就是虛擬加密貨幣挖礦攻擊。

虛擬加密貨幣挖礦熱潮如同 1980 年代末期的加拿大育空掏金熱一樣，隨著金價不斷攀升，前往掏金和探險的人也越來越多。今日的情況也相同，隨著比特幣的價格持續攀升，投入虛擬加密貨幣挖礦的網路犯罪集團也越來越多。

本文介紹趨勢科技Trend Micro Research 最新的研究報告，該報告調查了目前最主要的虛擬加密貨幣挖礦集團，看看虛擬加密貨幣挖礦對 DevOps 的流程和工具帶來什麼衝擊，以及該如何制訂防範策略。

繼續閱讀

如何封鎖YouTube頻道? 過濾兒童不宜影片

2022 年 05 月 17 日2022 年 04 月 19 日趨勢科技 TrendMicro

每天有10億小時的內容在YouTube上被觀看，讓它成為迄今為止地表上最受歡迎的影片分享平台。它在兒童中受歡迎的程度也不亞於大人，2到12 歲的兒童裡有85%會經常看YouTube，這是傳統電視（41%）的兩倍。

因為YouTube上的影片種類繁多，幾乎任何想得到的主題都有，使得它成為兒童娛樂及知識的絕佳來源。但因為每24小時就有720,000小時的影片被上傳到該平台，要精確審查內容事實上是一件不可能的任務。也因此YouTube出過許多不當內容的新聞，即使是YouTube Kids（該平台面向兒童的應用程式）也不能逃過。

在2019年，該網站就被發現出現熱門兒童卡通人物小豬佩奇喝漂白劑並刺傷自己頭部的影片，而這之前的幾年裡也有超過150,000部包含毒品、暴力、酒精和性相關內容的影片需要從YouTube Kids刪除。

很明顯，雖然YouTube提供了兒童娛樂和教育方面的巨大價值，但父母需要負起責任來管理他們可看的內容。如何才能做到這一點？透過封鎖YouTube頻道。當你封鎖某個YouTube頻道時，你的孩子將無法觀看上傳到該頻道的任何影片，無論是之前的舊影片還是未來的新影片，並且這些影片也不會出現在他們的推薦清單上。繼續看下去來了解該怎麼做！