12個最常被濫用的Android應用程式權限

Android應用程式需要權限才能正常運作。不過網路犯罪分子會將其用在個人私利上。來看看最常被要求的權限以及它們會如何被濫用。

Android 病毒

 

  1. 網路定位功能
    圖片來源:Evan-Amos / Wikimedia Commons / Public Domain

這代表什麼:允許應用程式透過網路定位(像是基地台或無線網路)來取得大概位置。應用程式開發人員可以用它從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來發動基於位置的攻擊或惡意軟體。比方說,網路犯罪分子可以將俄羅斯的行動使用者導到惡意俄文網站。

需要此權限的應用程式:位置相關應用程式,打卡應用程式

 

  1. 全球定位系統圖片來源:George Hodan的「在地圖上的地方

 

這代表什麼:允許應用程式透過全球定位系統(GPS)和其他定位來源(如基地台和無線網路)來取得你的確切位置。跟網路定位一樣,GPS定位也可以用來讓應用程式開發人員從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來載入基於位置的攻擊或惡意軟體。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看網路狀態

    圖片來源:Tim在雪梨拍攝的「尋找GSM網路」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式檢查是否有手機網路連線(也包括無線網路)。應用程式需要網路連線來下載更新或連接伺服器及網站。

它如何被濫用:惡意應用程式用它來找出可用的網路連線,這樣才能夠執行其他動作,像下載更多惡意軟體或發送簡訊。惡意應用程式可以在你不知情下切換這些連線,吸乾你的電池或增加你的數據收費。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看無線網路連接狀態
    圖片來源:Jason Wilson的「無線網路符號」,,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式存取無線網路資訊,例如已設定的網路列表和目前使用中的無線網路 。

它如何被濫用:網路犯罪分子利用設備漏洞來竊取無線上網密碼和駭入你所使用的網路。

需要此權限的應用程式:瀏覽器應用程式、通訊程式

 

  1. 檢索執行中的應用程式圖片來源:Jason Howie的「社群媒體應用程式」,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式確認目前或最近執行的工作和每個工作所執行的程序。

它如何被濫用:網路犯罪分子利用這從其他執行中的應用程式竊取資訊。還可以檢查並「殺掉」安全應用程式。

需要此權限的應用程式:工作清理應用程式,電池監測應用程式,安全應用程式

 

  1. 完整的網路存取能力
    圖片來源:Blaise Alleyne的「網路開放」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式連接網路。

它如何被濫用:惡意應用程式使用網路來連到它們的指揮中心或下載更新和更多惡意軟體。

 

  1. 讀取手機狀態和識別資訊需要此權限的應用程式:瀏覽器應用程式、遊戲應用程式、通訊程式、生產力應用程式

這代表什麼:允許應用程式知道你是否正在接聽電話或連接網路。也讓它們存取像是你的電話號碼、國際行動裝置標識(IMEI)號碼和其他識別資訊。應用程式通常用此來識別使用者而無需更多敏感資訊。 繼續閱讀

Spotify 的 Android應用程式漏洞可能導致釣魚攻擊

趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。

Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify

受影響的活動 

該漏洞影響一特定活動com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。

使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。

圖1、官方 Spotify應用程式顯示 Google首頁

繼續閱讀

「不留痕跡」的惡意程式,專門鎖定行動網路銀行使用者

惡意 Android App 攔截銀行傳送密碼,專門破解連線階段密碼安全機制

趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動,專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時,駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。

在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向歹徒掌控的DNS伺服器,然後再將惡意程式本身刪除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。 

惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上,它卻會攔截銀行所送出的密碼,並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,網路犯罪者不僅透過網路釣魚(Phishing)網站取得了受害者的銀行登入帳號和密碼,現在更取得了網路交易所需的連線階段密碼。如此,犯罪集團便能完全掌控受害者的銀行帳戶。

您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來,銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等,全都是用來防止銀行詐騙的措施。最近,趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動,以下說明該行動的犯案手法。

該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時,銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字,連同原本的使用者名稱和密碼,一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

 

網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案,其電腦就會被惡意程式感染。到這裡,一切都像典型的攻擊,沒什麼特殊之處。

不過,接下來就很有意思。使用者的電腦其實也不算受到感染,總之,不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定,然後就將自己刪除。這招反偵測手法如何?雖然只是小小的改變…. 但影響卻非常深遠。

其運作方式如下:使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證,如此一來,系統就會自動信任歹徒的惡意 HTTPS 伺服器,不讓使用者看到安全警告訊息。

圖 1:電腦感染 Emmental 行動惡意程式之後的雙重認證流程 繼續閱讀

假防毒軟體從電腦移植到了 Android 平台

Google Play 商店上的假防毒軟體以及趨勢科技「行動裝置應用程式信譽評等服務」的動態分析如何為您提供防護

本部落格曾報導過新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台

手機個資外洩?可能是你兒子下載廣告軟體

2014 年才進入四月,Android 惡意程式就已爆炸性成長。Android 惡意及高風險的 App 程式已突破二百萬大關 (見圖一),離趨勢科技技術長之前所預測的三百萬大關已不遠。事實上,光是 2014 年前三個月,我們就在全球發現了 500,000 個新的 Android 惡意及高風險的 App 程式。就在我們不斷提升這類威脅的防護時,我們又見到另一種新的威脅從 PC 移植到了 Android 平台:一個名為 Virus Shield 的假防毒軟體 (FakeAV) 在 Google Play 商店現身。

 (圖一)

Virus Shield 於 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據我們的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。 繼續閱讀

《APT 攻擊》南韓 DarkSeoul 大規模 APT 攻擊事件事件 FAQ

 

南韓遭駭客攻擊事件,引發中外媒體大量報導
南韓遭駭客攻擊事件,引發中外媒體大量報導(圖為壹電視報導)

 

    2013 年 3 月 20 日在韓國發生什麼?
在 3 月 20 日下午,多家韓國民間企業遭受數次攻擊,業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。
*本事件有一說為南韓 DarkSeoul  大規模APT攻擊事件)

4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊

•    誰在此次攻擊事件中受到影響?

數家韓國媒體與金融機構的網路受到影響,尤其是媒體,據報導他們的業務運作受到嚴重中斷,要完全恢復至少需要4至5天。

•    攻擊者的意圖為何?

目前還不知道攻擊者的動機,但是攻擊造成的影響是終端正常業務運作,表明了這是一次破壞行動。如果不知道攻擊者的真面目,很難去判定此次攻擊的意圖為何。

•    攻擊活動如何開始? 相關的惡意軟體如何入侵?

一封偽裝成三月份信用卡交易紀錄的郵件被送給被害者,該郵件包含兩個附件,一個是無害的 card.jpg,另一個是惡意的 .rar 文件,文件名寫著「您的帳戶交易歷史」

韓國遭駭客攻擊的社交工程信件
韓國遭駭客攻擊的社交工程信件

•    此次攻擊事件的感染途徑為何?

附件的 .rar 文件是一個 downloader,它會連接數個惡意 IP 地址並下載 9 個文件。企業內部的中央更新管理伺服器也遭受入侵而被植入惡意程序,更新管理機制讓這個惡意程序能夠相當快速地散播到所有連接此伺服器的電腦。該惡意程序會新增數個組件,其中包含一個 MBR (主開機記錄,Master Boot Record) 修改器。

•    在終端電腦上發生什麼?

這個 MBR 修改器,經趨勢科技偵測分析,定名為 TROJ_KILLMBR.SM 惡意程序。該惡意程序被設定在 2013 年 3 月 20 日執行,在這個時間之前,它只是安靜地存在系統之中。當設定的時間到達之後,TROJ_KILLMBR.SM 覆蓋MBR並且自動重啟系統,讓此次破壞行動能夠生效。它並且利用保存的登入訊息嘗試連接 SunOS、AIX、HP-UX 與其他 Linux 伺服器,然後刪除服務器上的 MBR 與文件。

對於Windows Vista 或是更新的版本,它會搜尋所有固定或移動硬碟中文件夾裡的全部文件,用重複的單詞去覆蓋文件,然後刪除這些文件與文件夾。在根目錄的文件是最後被覆蓋的。對於比 Windows Vista 舊的操作系統,它會覆蓋所有固定或移動硬碟的開機引導紀錄 (boot record)。

    在 3 月 20 日之前有沒有對於此事攻擊事件的提前預警?

在一個趨勢科技的客戶環境中,我們能夠判斷至少在一天前,也就是 3 月 19 日,他們就已經遭遇了這個威脅。然而藉由趨勢科技威脅發現設備 DDI 的協助,他們能夠提早知道並且採取防禦措施。

    趨勢科技對於此次攻擊事件提供什麼保護?

趨勢科技 DDI 利用偵測到相關郵件中的惡意附件,啟發式偵測名稱為 HEUR_NAMETRICK.B,我們也提供特徵碼去查殺 MBR 修改器,同時我們能夠偵測此次攻擊相關的所有 URL 與垃圾郵件。

•    趨勢科技客戶在此次事件中有受到影響嗎?

趨勢科技 DDI 能夠利用啟發式偵測與沙盒分析提示與此次攻擊相關郵件中的惡意附件。由於 DDI 提供的訊息,客戶能夠提早採取預防措施,防止威脅影響他們的系統。

     面對 APT 攻擊企業該怎麼辦呢? 這是我們的建議 

•    確保重要主機的防護及安全

。    駭客企圖利用具有中控管理的程式來散播惡意程式,所以包含防毒軟體、資產管理、軟體派送及 AD 等等,因此做好主機保護很重要。

。    程式本身也必須做好防護,以免成為攻擊的管道。 繼續閱讀