應用程式 - 資安趨勢部落格

你下載的App都安全嗎?四招遠離手機病毒

2019 年 07 月 31 日2019 年 08 月 05 日趨勢科技 TrendMicro

非法應用程式是智慧型手機的主要威脅之一。最近，不僅是從郵件或社群網路、假官網粉絲頁等企圖誘導用戶至非法網站，甚至在官方應用程式商店上亦發現到非法應用程式。

從非官方網站上下載應用程式的風險

何謂非法應用程式，指的就是進入智慧型手機或是平板電腦的裝置內進行非法行為的總稱。萬一，安裝了非法應用程式的話，你的裝置不旦會遭非法操控及資訊遭竊，還會被誘導至一直出現廣告的非法網站等，並可能暴露在種種的威脅下。

網路犯罪者主要會在非官方網站/非官方商店散佈非法應用程式。例如，對正在瀏覽正規網站的用戶顯示「系統錯誤」「感染病毒」等的假警告畫面，讓用戶開啟連結企圖誘導前往非法網站。在此，佯稱為了要進行系統更新或是清除病毒等需要安裝必要的程式，藉此讓用戶安裝非法應用程式。同時，還發現到會藉由假的簡訊誘導用戶前往知名宅配業者或通訊業者的假網站。另外在網路上還發現到多數偽裝成受歡迎的人氣遊戲及相機的假應用程式，在此呼籲從來歷不明的網站安裝應用程式時應多加留意。

[延伸閱讀] 每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

官方商店也有非法應用程式

迴避非法應用程式最基本的一個對策就是，「從官方應用程式商店取得應用程式」。但是，官方商店內亦可能有非法應用程式會矇混其中。

趨勢科技在Google Play上發現針對Android裝置,偽裝成語音信箱及相機、遊戲等的非法應用程式。這些非法應用程式不僅會盜取裝置內的資訊，亦會顯示彈出式的假廣告，企圖誘導用戶至釣魚詐騙網站及散佈成人色情應用程式的網站。

繼續閱讀

下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

2019 年 07 月 12 日2019 年 07 月 10 日趨勢科技 TrendMicro

已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」，刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證，並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。

安裝前兩天不會出現惡意行為直到跳出更新 Google Play 服務通知

這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」，顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑，該遊戲在安裝之初的兩天內都不會出現任何惡意行為。

此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務，並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻，在「sign in」(登入) 的字樣當中出現拼字錯誤。

若使用者不小心輸入了自己的登入憑證，惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像，例如「com.googles.android.gms」，這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外，惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」，此套件似乎與 Google 的套件功能一樣。

繼續閱讀

Google Play和Microsoft商店移除可疑的應用程式

2019 年 04 月 22 日2019 年 05 月 17 日趨勢科技 TrendMicro

https://blog.trendmicro.com/wp-content/uploads/2019/04/20180416024858842-951-S8oXcwu-800-300x200.jpg

Google Play和微軟最近都從自己的網路商店移除多個可疑的惡意應用程式。Google從Play商店移除總數29個美肌相機應用程式，其中有大多數都會向使用者派送色情內容或將其導到釣魚網站。趨勢科技發現的這些惡意美肌相機應用程式看起來合法，但一旦安裝就很難被移除。

同時微軟商店也移除了八個挖礦劫持應用程式，包括Fast-search Lite、FastTube和Clean Master等。一旦下載安裝，這些應用程式就會在其網域伺服器啟動Google代碼管理工具，接著會啟動挖礦腳本。挖礦劫持是種會利用他人設備非法挖掘虛擬貨幣的惡意活動 – 如果你安裝了這些應用程式，那受害的就是你的裝置了。

繼續閱讀

遍及93國,竊取 377 種銀行應用程式個資的Anubis 銀行木馬,偽裝匯率轉換和電池節能app,利用動作感應資料躲避偵測

2019 年 01 月 25 日2019 年 01 月 27 日趨勢科技 TrendMicro

集銀行木馬、勒索病毒、鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播。
Anubis本身內建的鍵盤側錄功能，能記錄使用者輸入的按鍵，也可直接截取使用者的裝置畫面，以便獲得帳號登入憑證。
根據趨勢科技的資料顯示，最新版的 Anubis 已散布至全球 93 個國家，可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外，Anubis 一旦成功執行，還有可能取得裝置上的通訊錄及定位資訊，也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人。

最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式，這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。

第一個電池節能工具已累積了 5,000 次以上的下載，並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的，因為其中參雜了一些匿名用戶的評論，並且有些評論邏輯不通且缺乏實質內容。

根據趨勢科技對這波攻擊的研究，這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為 ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後，證明其程式碼與已知的 Anubis 樣本極為類似。此外，我們也發現它會連上位於「aserogeege.space」網域的幕後操縱 (C&C) 伺服器，該網域也與 Anubis 有所關聯。

這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址，而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址，從 2018 年至今大約已更換過六次，顯示歹徒的攻擊行動相當活躍。

圖 1：Google Play 商店上的惡意應用程式。

表 1：BatterySaveMobi 所有樣本肆虐地區分布。

利用裝置的動作感應功能躲避偵測

上述不肖應用程式不僅使用了傳統的躲避技巧，還利用使用者裝置的動作感應功能來躲避偵測。

繼續閱讀

廣告程式冒充成遊戲、電視、遙控器應用程式，造成 900 萬 Google Play 用戶遭到感染

2019 年 01 月 11 日2019 年 01 月 16 日趨勢科技 TrendMicro

煩人的廣告程式存在已久，但至今仍無消退的跡象。最近趨勢科技發現了一個相當活躍的廣告程式家族 (趨勢科技命名為：AndroidOS_HidenAd) 會假冒成 85 款不同的應用程式，包括遊戲、電視頻道、遙控器等等應用程式在 Google Play 商店上散布。這款廣告程式會顯示全螢幕廣告，並且會自我隱藏，在背後持續執行，並暗中監控行動裝置螢幕解鎖功能。這 85 款冒牌應用程式在全球共累積了 900 萬次下載。Google 在收到我們通報並進行確認之後，也火速將這些應用程式從 Google Play 商店下架。