《手機病毒 》手機帳單暴增?假美肌 APP , 真扣款!

假美肌應用程式攔截簡訊驗證碼,觸發 WAP 代扣繳費功能

越來多利用修圖或美肌應用程式被作為誘餌,誘使不知情的使用者下載欺詐性內容或惡意應用程式。一款名為「Yellow Camera」的應用程式,偽裝成照相及美肌或修圖應用程式,雖然它有提供宣稱的功能,但同時也會讀取簡訊驗證碼,接著啟用 WAP( Wireless Application Protocol )計費功能。趨勢科技也發現該應用程式的中文版本。

趨勢科技行動安全防護能夠封鎖惡意應用程式 ,按這裡免費下載試用

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/10/fake-camera-app-wap-billing-5.png
愈來愈多類似Yellow Camera惡意行為的應用程式偽裝成濾鏡或美肌應用程式,誘騙使用者訂閱WAP服務。

Google在今年初更新了Android應用程式的權限要求規定,特別是在存取簡訊和通話紀錄的限制上。Google還將非預設(或非提供重要核心功能)的應用程式加入此要求,讓它們可以提示並要求使用者提供權限來存取裝置資料。

此限制是為了防止山寨版或惡意應用程式利用這些功能來散播惡意軟體,竊取可識別個人身份的資訊或是進行詐騙。但正如去年的行動威脅環境所顯示,詐騙份子和網路犯罪份子一直努力地在想各種方法賺錢,無論是調整策略、尋找方法繞過限制或是跟最近我們所看到的案例一樣 – 使用老舊但仍然有效的技術。

 [延伸閱讀:]

想要拍出好氣色,當心29款美肌相機應用程式會發送色情內容,還會偷個資盜用照片

每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

趨勢科技最近在 Google Play上看到一款名為「Yellow Camera」的應用程式(趨勢科技偵測為AndroidOS_SMSNotfy),它會偽裝成照相及美肌或修圖應用程式(這類伎倆越來越常見,我們在今年發現許多類似的應用程式,它們還會竊取資料或帶有惡意軟體或廣告軟體)。雖然它有提供宣稱的功能,但同時也會從系統通知讀取簡訊驗證碼,接著啟用WAP( Wireless Application Protocol )計費功能。

繼續閱讀

Google Play和Microsoft商店移除可疑的應用程式

https://blog.trendmicro.com/wp-content/uploads/2019/04/20180416024858842-951-S8oXcwu-800-300x200.jpg

Google Play和微軟最近都從自己的網路商店移除多個可疑的惡意應用程式。Google從Play商店移除總數29個美肌相機應用程式,其中有大多數都會向使用者派送色情內容或將其導到釣魚網站。趨勢科技發現的這些惡意美肌相機應用程式看起來合法,但一旦安裝就很難被移除。

同時微軟商店也移除了八個挖礦劫持應用程式,包括Fast-search Lite、FastTube和Clean Master等。一旦下載安裝,這些應用程式就會在其網域伺服器啟動Google代碼管理工具,接著會啟動挖礦腳本。挖礦劫持是種會利用他人設備非法挖掘虛擬貨幣的惡意活動 – 如果你安裝了這些應用程式,那受害的就是你的裝置了。

繼續閱讀

Android (安卓)桌布應用程式出現廣告詐騙活動

趨勢科技在Google Play商店上偵測到15個會進行點擊廣告詐騙的桌布應用程式。直到本文撰寫時,這些應用程式在Play商店上已經被下載了超過222,200次,我們的監測顯示大多數分佈在台灣、義大利、美國,德國和印尼。Google已經確認移除了所有偵測到的應用程式。

圖1、出現在Google Play商店的點擊詐騙應用程式。

 

應用程式行為

這些應用程式有著吸引人的圖示,同時號稱會提供美麗的手機桌布。應用程式本身也有著非常正面的使用者評論,但我們高度懷疑這些評論是假的,只是為了取信使用者。

圖2、Wild Cats HD桌布應用程式被下載超過10,000次。

在Google Play商店上的評價為4.8分。

繼續閱讀

Google Play出現假語音應用程式,竊取姓名電話住址等個資

趨勢科技注意到Google Play上有好幾個偽裝成語音訊息平台的App(應用程式),會自動跳出假調查和進行欺詐性廣告點擊。這些惡意應用程式變種從10月開始陸續出現,未來可能發動殭屍網路等惡意攻擊。雖然目前感染數量仍不大嚴重,但因為其快速的發展及在行動生態系內的散播行為,仍須持續觀察相關應用程式上傳和使用者下載的狀況。

來自七個已知應用程式ID的所有樣本有著相似的編碼和行為,令人懷疑網路犯罪分子還在開發其他模組並將部署更多的惡意應用程式。

botnet fake voice messenger app google play_1

圖1、上傳到Google Play上偽裝成語音訊息應用程式的其中之一

繼續閱讀

Google Play 出現53個會竊取 Facebook 登入憑證的惡意廣告程式

趨勢科技在 Google Play 商店上總共發現了 53 個會竊取 Facebook 帳號並暗中推播廣告的應用程式。這些應用程式當中,有許多是早在 2017 年 4 月就已上架,而且似乎是在同一期間整批上架。趨勢將偵測到的惡意廣告程式命名為:ANDROIDOS_GHOSTTEAM。在我們偵測到的樣本當中,有許多都是採用越南文,就連它們在 Google Play 上的說明也是。

該程式幕後操縱 (C&C) 伺服器的網址也位於越南:mspace.com.vn。從這一點以及大量使用越南文來看,很可能意味著這些應用程式來自越南,例如,GhostTeam 的組態設定就是使用英文和越南文。如果惡意程式偵測到自己所在的位置不在越南,就會預設使用英文。

利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者

這些應用程式會偽裝成工具程式 (閃光燈、QR Code 掃描器、指南針)、效能優化程式 (檔案傳輸、清除) 以及最重要的:社群網站影片下載程式。它們利用影片下載程式為社交工程誘餌,吸引想要將影片下載到裝置上離線觀賞的使用者,這一點與我們偵測到的 GhostTeam 行為吻合。根據報導,印度、印尼、巴西、越南及菲律賓已成為 Facebook 用戶最多的國家,所以也因此成為 GhostTeam 肆虐最嚴重的國家。

失竊的帳號很可能將被組成社群網路殭屍大軍,大量散發假新聞數位加密貨幣採礦惡意程式

雖然目前我們尚未發現網路犯罪集團將竊取到的 Facebook 帳號用於其他攻擊行動,但這一點應該是無庸置疑的事。因為,就其他的網路攻擊和威脅的案例來看 (如「Onliner」垃圾郵件散發殭屍網路),這些失竊的帳號很可能將被用於散發更具破壞力的惡意程式,或者組成社群網路殭屍大軍,大量散發假新聞數位加密貨幣採礦惡意程式。由於 Facebook 帳號很可能含有各種其他金融帳號相關資訊或個人身分識別資訊,因此在地下網路上算是常態商品


圖 1:GhostTeam 肆虐最嚴重的國家。

除此之外,應用程式當中還有一項有關作者的線索:該惡意程式的早期版本在程式碼當中曾經出現過「ghostteam」字樣。這個「ghostteam」程式套件當中含有一些程式碼會要求使用者安裝一個惡意檔案 (GhostTeam_Demo.mp4)。它們會偽裝成某知名網際網路服務廠商的套件名稱。


圖 2:會暗中竊取 Facebook 帳號的應用程式圖示。 繼續閱讀