挖礦程式使用 Haiduc 駭客工具和 Xhide 應用程式隱藏工具,暴力登入電腦與伺服器

趨勢科技架設的某個誘捕環境在一個遭到入侵的網站 (hxxps://upajmeter[.]com/assets/.style/min) 上偵測到虛擬加密貨幣挖礦攻擊。歹徒在該網站上插入一些指令來下載其主要指令列腳本 (shell script),也就是趨勢科技偵測到的 Trojan.SH.MALXMR.UWEJS。這個挖礦程式由多個元件所組成,包括不同的 Perl 和 Bash 腳本、二進位檔案、應用程式隱藏工具 Xhide 以及一個掃瞄工具。此挖礦程式在散布時會掃瞄電腦是否含有某些漏洞,且會利用暴力登入方式 (主要是使用預設的登入帳號和密碼) 來入侵電腦。

根據我們對該威脅的分析顯示,惡意檔案會在一天當中執行多次,定期將受感染電腦的最新狀況回報給幕後操縱 (C&C) 伺服器。感染過程當中使用的指令列腳本也會下載一些包含其掃瞄工具、執行程序隱藏工具,以及最終惡意檔案的壓縮檔。

除此之外,這項威脅還會利用一個執行程序隱藏工具來隱藏挖礦程式的二進位檔案,讓一般使用者更不容易注意到歹徒的挖礦活動,頂多只會發現電腦效能變慢,以及某些可疑的網路流量。這是歹徒用來掩蓋其掃瞄、暴力登入與挖礦活動的一種已知手法。

繼續閱讀

《資安新聞周報》你下載的瀏覽器擴充功能安全嗎?/武漢肺炎考驗企業IT應變力/駭客能從螢幕亮度變化竊取資料

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

這張圖片的 alt 屬性值為空,它的檔案名稱為 NEWS-R-1024x738.png

資安趨勢部落格一周精選

媒體資安新聞

【有圖教學】31號去了哪? 谷哥「時間軸」幫你回想!         華視新聞網

以色列資安研究:駭客能使用光通道,從螢幕的亮度變化竊取使用者資料     科技報橘

駭客藉疫情冒充世衛以電子郵件騙取個人資料        iThome

Philips智慧燈泡漏洞將允許駭客滲透用戶網路        iThome

你的隱私真的安全嗎?社交平台出包 駭客利用漏洞取得用戶電話      匯流新聞網

小心破財!4款假APP來勢洶洶 專家傳授5招保身       新頭殼

Android 裝置驚爆 BlueFrag 安全漏洞,駭客可在藍牙上執行任意程式碼   科技新報網

注意!手機下載4類型App讓駭客「發大財」        ETtoday新聞雲

請刪掉再登臉書!這些Android應用程式包括VPN工具都有問題 ETtoday新聞雲

有夠衰!詐團假裝司法機關 同個被害人「被騙錢2次」      三立新聞網

勒索病毒去年逾20萬件 贖金月均19萬元      世界新聞網

丹麥報稅網站軟體出錯,外洩1/5全國納稅人個資 iThome

Yahoo史上最大個資外洩事件賠償方案出爐!收到通知郵件的用戶可採取4種方案 ETtoday新聞雲

繼續閱讀

商品已到貨?手機病毒藏在後 讓你簡訊發不停

全球網路資安解決方案領導廠商趨勢科技發出緊急示警,指出近日許多民眾開始收到內容為:「訂購商品查詢 hxxp://xxxx.xyz」的手機簡訊,當Android用戶點擊網址後,會出現「更新Chrome以取得最佳顯示」的提示通知,進一步要求用戶安裝軟體並更新。一旦用戶不慎安裝,手機將開始自動發送簡訊給通訊錄中的聯絡人,使得用戶手機成為病毒訊息的超級傳播者,還必須支付爆量簡訊費用!

訂購商品查詢 hxxp://xxxx.xyz」的手機簡訊,當Android用戶點擊網址後,會出現「更新Chrome以取得最佳顯示」的提示通知,進一步要求用戶安裝軟體並更新。 旦用戶不慎安裝,手機將開始自動發送簡訊給通訊錄中的聯絡人,使得用戶手機成為病毒訊息的超級傳播者,還必須支付爆量簡訊費用!

趨勢科技指出,此款惡意手機病毒名為「Xloader.A」,是惡名昭彰的Android間諜程式兼銀行木馬程式Xloader的變種,一旦用戶授權安裝,駭客將能讀取手機內的資料(包含聯絡人、照片、文件等)、側錄通話內容,甚至取得在其他應用程式上顯示內容的權限,在用戶開啟手機其他應用程式時,跳出偽裝為此應用程式的通知,要求進行下載其他檔案,或是連結至假冒此應用程式的網頁,讓手機暴露於更多惡意威脅風險之中!

繼續閱讀

情人伴侶經常為自己挖的四個資安漏洞

臉書只是跟好友聊天抒發的平台?一個離婚官司案件,法官下令雙方將臉書 ( Facebook )密碼交給對方律師,進行相關蒐證 。
共享帳號密碼是給予對方承諾的最佳方式 ? 56% 的情侶都這麼認為, 但真實案例告訴我們,這後果有多慘烈 。
跟對方共用電腦很一般嗎?她竟讓自己的臉書密碼被換掉,還被上傳裸照!
拍下私密影像前,是否有被公開的心理準備?

情人節

丙對兩說:「你家什麼時候多了一個人,結婚了?」結婚,似乎是愛情故事最美的結局,但如同這句網路流傳的金句所言:「愛的力量大到可以使人忘記一切,卻又小到連一粒嫉妒的沙石也不能容納。」
於是戀人阿,請從現在開始熟記以下的四個戀愛資安守則,避免犯下以下列舉的錯誤,並謹記: 人,才是最大的資安漏洞。

1. 社群網站過度分享

被貼到社群網站的內容,現在也會被拿來在法庭聽證會上作為證據。像是在離婚過程中,會利用上傳到 Facebook 的照片來證明丈夫的不忠。

在這個案例中美國法官命令1對離婚夫妻互換Facebook密碼,法院下令,申請離婚的夫婦必須向對方提供所有社交網站的密碼,以便於雙方律師能夠登錄尋找指控證據。根據法庭的命令,夫婦雙方都被禁止修改社交網站密碼,也不能刪除任何資訊。另外,他們也被禁止用對方的帳號發佈消息,弄虛作假或抹黑對方。

繼續閱讀

【手機病毒 】九款惡意程式偽裝成Android 系統優化程式,可利用 Google 和 Facebook 帳號登入被遠端安裝的惡意應用程式

原本應該用來協助清除、整理、刪除無用檔案以優化系統的程式,化身為惡意程式, 總計已累積超過 47 萬次下載。這波攻擊背後的網路犯罪集團會利用受害裝置,在應用程式商店發表正面評價來推升這些惡意程式的人氣,此外不只會向受害者推送廣告,還會幫你點選彈出的廣告,來從事各種廣告詐騙,連推薦頁面底下都會顯示一些惡意廣告內容與木馬程式,並可用受害者的 Google 和 Facebook 帳號登入被遠端安裝的惡意應用程式 。
這些惡意應用程式潛伏在許許多多正常的行動廣告平台當中,如:Google AdMob、Facebook Audience Network 等等。
此攻擊會停用 Google Play Protect 資安防護功能,企圖偷偷下載惡意檔案並安裝更多惡意程式而不被使用者發現。
影響最嚴重的國家分別為:日本、台灣、美國、印度及泰國。

3,000 多個惡意程式偽裝成Android 系統優化程式,可利用 Google 和 Facebook 帳號登入被遠端安裝的惡意應用程式

趨勢科技在 Google Play 商店上發現多個會存取遠端廣告伺服器的系統優化、強化工具程式 (趨勢科技命名為 AndroidOS_BadBooster.HRX) ,這批可能下載到裝置的 3,000 多個病毒(惡意程式變種或惡意檔案),趨勢科技命名統稱為「AndroidOS_BoostClicker.HRX」,它們會偽裝成系統應用程式,所以不會在裝置桌面或應用程式列表當中顯示圖示。

九款 Google Play上的惡意軟體,分別是Shoot Clean-Junk Cleaner,Phone Booster,CPU Cooler、Super Clean Lite- Booster, Clean&CPU Cooler、Super Clean-Phone Booster,Junk Cleaner&CPU Cooler、Quick Games-H5 Game Center、Rocket Cleaner、Rocket Cleaner Lite、Speed Clean-Phone Booster,Junk Cleaner&App Manager、LinkWorldVPN和H5 gamebox。

圖 1:在 Google Play 商店上的惡意系統優化應用程式。
圖 2:惡意廣告伺服器關聯示意圖 (根據 VirusTotal 的資料)。
註:紅色節點代表已被多家資安廠商偵測到的節點。


宣稱可提升手機效能的「Speed Clean」,不但會跳出廣告,還會建立背景遮蓋惡意內容


在這波攻擊當中有一個名為「Speed Clean」的應用程式 (見圖1),該程式宣稱可提升行動裝置效能,它會在使用過程中跳出廣告,這一點對行動應用程式其實見怪不怪。

圖 3:Speed Clean 應用程式所顯示的廣告。

 

但我們卻觀察到受害裝置會偷偷出現一些不良行為,此外 Speed Clean 應用程式還會建立一個透明活動背景 (transparent activity background) 來遮蓋其惡意內容。

圖 4:在受害裝置建立一個透明活動背景 (transparent activity background) 的程式碼。

向受害者推送廣告,推薦頁面底下會顯示一些惡意廣告內容與木馬程式


隨後,一個名為「com.adsmoving.MainService」的惡意服務 (在Java 套件 com.adsmoving 內部) 會與遠端廣告伺服器建立連線來註冊新安裝的裝置。

註冊完成之後,Speed Clean 就會開始向使用者推送廣告,該程式的「Recommend Pages」(推薦頁面) 底下會顯示一些惡意廣告內容與木馬程式。

圖 5:惡意服務「com.adsmoving.MainService」的程式碼。

圖 6:一些惡意應用程式,如 Android 應用程式安裝套件「alps-14065.apk」和「com.play.games.center_1.0.3.apk」(趨勢科技命名為:AndroidOS_BoostClicker.HRX) 會從廣告伺服器推送至受害裝置。

「alps-14065.apk」在安裝之後不會顯示在裝置的桌面或裝置應用程式清單內。而是在「已下載」的應用程式清單下多了一個名為「com.phone.sharedstorage」的應用程式。

圖 7:惡意木馬程式列在「已下載」的應用程式清單底下。

可能出現的五種廣告詐騙行為

這個惡意的 Speed Clean 應用程式如同 ANDROIDOS_TOASTAMIGO 這個我們在 2017 年偵測到的 Android 惡意程式家族一樣,會下載各種惡意程式變種或惡意檔案來從事多種廣告詐騙。以下是這波攻擊可能出現的一些廣告詐騙行為:

  1. 模擬使用者點按廣告的動作,點選 Google Play 上的惡意應用程式 (AndroidOS_BadBooster.HRX) 所彈出的廣告。這些惡意應用程式潛伏在許許多多正常的行動廣告平台當中,如:Google AdMob、Facebook Audience Network 等等。
圖 8:經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用 API 函式「sendPointerSync」來模擬使用者點按廣告的動作。

2.安裝來自行動廣告平台的回饋獎勵應用程式到虛擬環境內,以防止使用者發現

圖 9:經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用 VirtualApp 來安裝新的回饋獎勵應用程式。

3.誘騙使用者在受害裝置上啟用無障礙 (accessibility) 功能的權限,並停用 Google Play Protect 資安防護功能。如此一來,就能偷偷下載惡意檔案並安裝更多惡意程式而不被使用者發現。

圖 10:經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會利用無障礙 (accessibility) 功能的權限來停用 Google Play Protect 資安防護功能。

4.利用受害裝置的無障礙功能來發表惡意系統優化程式的正面評價。

圖 11:經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用無障礙功能來發表有關 AndroidOS_BoostClicker.HRX 應用程式的正面評價。

5.透過無障礙功能,以使用者的 Google 和 Facebook 帳號登入新安裝的惡意應用程式。

圖 12:經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會利用無障礙功能,以使用者的 Google 和 Facebook 帳號登入新安裝的惡意應用程式。


趨勢科技已採集了該行動從 2017 年活躍至今的各種惡意程式變種與惡意檔案樣本,數量統計如下表所示:

年度 惡意程式變種與惡意下載檔案的數量
2017 6
2018 第一季 40
2018 第二季 37
2018 第三季 20
2018 第四季 72
2019 第一季 1076
2019 第二季 1090
2019 第三季 399
2019 第四季 23
2020 第一季 33

表 1:2017 年至 2020 年第一季惡意程式變種與惡意檔案及下載的數量。

台灣名列此波攻擊影響最嚴重的國家之一


此外,根據我們的觀察,受此波攻擊影響最嚴重的國家分別為:日本、台灣、美國、印度及泰國。

國家/地區 感染數量
日本 48,557
以色列 1,954
台灣 5,722
美國 2,497
印度 1,082
其他 5,602

表 2:過去三個月各國感染數量。

趨勢科技曾經嘗試將裝置的國碼設定成任何國家,甚至是隨便一個不存在的國碼,遠端廣告伺服器同樣還是會傳回惡意的內容。不過,如果我們將國碼設為中國 (geo=cn),就不會傳回惡意內容。這有可能意味著幕後的犯罪集團刻意避開來自中國使用者的網路連線,換句話說,這項攻擊行動的目標似乎排除了中國的使用者。

圖 13:從程式碼可看出如果受害裝置的地理區域設成中國,就不會收到惡意的內容。

大量的五顆星評價,留言都是:「Great, works fast and good」

詐騙集團經常製作一些看似正常的應用程式來誘騙使用者下載,因此使用者在下載任何行動應用程式之前都應預先做點必要的功課。

一般來說,首先第一步就是要查看 Play 商店上的評價。但這次的惡意程式會下載一些額外的檔案來執行,這些檔案會製造大量虛假的正面評價。但這些大量的正面評價其實也有一些蛛絲馬跡可判斷其真偽,例如,儘管這些評價都是由不同的用戶帳號所發布,但其內容幾乎一模一樣,都是「Great, works fast and good」,而且也都給了五顆星評價。

要避免感染像這樣的威脅,使用者可採用一套能防範不良廣告程式的資安軟體。趨勢科技行動安全防護可攔截各種惡意應用程式。其多層式防護能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障使用者的安全。

針對企業機構, 趨勢科技  Mobile Security for Enterprise 企業版行動安全防護 提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還可偵測並攔截惡意程式和詐騙網站。趨勢科技的行動應用程式信譽評等服務  (MARS) 已經可以利用先進的沙盒模擬分析與機器學習(Machine learning,ML) 技術來防範 Android 及 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

入侵指標 (IoC)

AndroidOS_BadBooster.HRX:
九款惡意應用程式列表:

應用程式名稱 應用程式套件 安裝數量
Shoot Clean-Junk Cleaner,Phone Booster,CPU Cooler com.boost.cpu.shootcleaner 超過 10,000
Super Clean Lite- Booster, Clean&CPU Cooler com.boost.superclean.cpucool.lite 超過 50,000
Super Clean-Phone Booster,Junk Cleaner&CPU Cooler com.booster.supercleaner 超過 100,000
Quick Games-H5 Game Center com.h5games.center.quickgames 超過 100,000
Rocket Cleaner com.party.rocketcleaner 超過 100,000
Rocket Cleaner Lite com.party.rocketcleaner.lite 超過 10,000
Speed Clean-Phone Booster,Junk Cleaner&App Manager com.party.speedclean 超過 100,000
LinkWorldVPN com.linkworld.fast.free.vpn 超過 1,000
H5 gamebox com.games.h5gamebox 超過 1,000

AndroidOS_BoostClicker.HRX

    SHA256 雜湊碼 檔案名稱
1e3f19dcfb23b8e04a88f87c3e4df67eba25b8012f1233295b60355b7545f5d4 com.phone.sharedstorage
d240e9809bfe98ed6af4b8853b7556a9207e6e3c325f200e9df0fdc63582fddc SystemSecurityServices
c91327f7e48ca64c829c29e6bcb30451dab6c9d32386048165702df3a728c173 ConfigAPKs

MITRE ATT&CK Matrix

 原文出處:Malicious Optimizer and Utility Android Apps on Google Play Communicate with Trojans that Install Malware, Perform Mobile Ad Fraud 作者:Lorin Wu (行動裝置威脅分析師)

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網