Android - 資安趨勢部落格

Google 單方面移除 Google Play的廣告攔截程式,對消費者的影響

2013 年 03 月 27 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

最近新聞媒體報導 Google 單方面移除了 Google Play 商店上所有的廣告攔截程式。稍後，這些 App 程式的開發廠商也證實了這點，並且表示，根據 Google 的說法，他們的 App 程式因為違反了所有 Android 開發人員都同意遵守的開發人員發行合約 (Developer Distribution Agreement)。

在一個理想的世界當中，Google 的舉動或許是對的。其合約的確切內容為：

您同意不會利用「市場」來從事任何會干擾、中斷、損害、或未經同意存取其他任何第三方 (包括但不限於 Android 使用者、Google 或任何行動網路業者) 之裝置、伺服器、網路或其他財產或服務的活動，包括開發或發行「產品」。

粗體字是我們加上去的。前述有問題的 App 程式確實違反了這項合約，Google 也的確有權移除這些程式。

問題是我們並非處於一個理想的世界。內建積極式廣告的 App 程式與網站數量已相當嚴重，造成了使用者的困擾並引發這項問題。有些甚至會出現惡意的行為，幫使者訂閱一些高費率的服務。很多使用者已開始擔心廣告網路追蹤他們的作法，也厭倦了每次上網就看到一堆廣告。簡單的說，使用者對廣告網路已不再完全信賴，因此才會採取自我保護行動。

Google 這樣的舉動很顯然是為了保障廣告商與開發商，尤其是保障 Android App 程式的開發商。或許從商業的角度看來也是一項正確的決定。但很不幸地，外面仍有許多不肖的開發廠商與廣告商，讓使用者不得不尋求自保。繼續閱讀

Android熱門遊戲應用程式Candy Crush出現山寨版, 內含廣告軟體竊取行動裝置個資

2013 年 03 月 26 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Gelo Abendan

一如往常，暗黑開發商開始利用起社群網路和Android上最熱門的遊戲應用程式 – Candy Crush。

最近，Candy Crush從FarmVille 2身上奪走鎂光燈的焦點，成為臉書上最受歡迎的遊戲應用程式。不過這股熱潮也帶來了風險。Candy Crush的流行也讓它成為惡意開發商和網路犯罪分子的完美目標，想利用它做誘餌來吸引遊戲粉絲，就跟過去發生在其他受歡迎行動應用程式和遊戲上的事件一樣，像是憤怒鳥 Instagram、壞蛋豬和Temple Run。

所以一點也不令人驚訝的，趨勢科技發現有山寨Candy Crush應用程式的出現，證明網路犯罪分子也會想要利用當前的遊戲熱潮。這些應用程式包含了Leadbolt和Airpush廣告網路的相關程式碼：趨勢科技在去年就看過許多應用程式包含上述程式碼。（趨勢科技將其偵測為ANDROIDOS_LEADBLT.HRY和ANDROIDOS_AIRPUSH.HRXV）。

繼續閱讀

Firefox作業系統：安全性如何？

2013 年 03 月 26 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Robert McArdle（資深威脅研究員）

在巴塞隆納剛結束的世界行動通訊大會上出現一件有意思的事，就是正式發布了Firefox OS。Mozilla執行長Gary Kovacs生動的說：「要將網頁體驗帶到行動設備上」。

特別的不是因為有多少廠商和電信商也被公告即將發表使用Firefox OS的產品，而是Mozilla的新行動作業系統大量的使用HTML5。Firefox OS的應用程式是用HTML5等開放標準來開發，而非使用專有工具或技術。

Firefox OS到目前為止所發表出來的資訊，絕大部分都不是為了提供給安全研究人員或分析人員（雖然Mozilla的開發者網站上也有些很好的資源）。主要還是為了給應用程式開發人員、使用者和電信商，需要他們更快採用Firefox OS才能真正成功。支援Firefox OS的產品甚至還沒有提供給開發人員，更別說普羅大眾了。

我們所能做的就是檢視HTML5的整體安全性，看看Firefox OS應用程式會運作在什麼樣的環境。我們知道HTML5絕對足夠強大去成為有用的應用平台，但這也代表惡意行為可以藉由HTML5達成，攻擊行為也可以透過HTML5進行。當然，這些攻擊原生程式碼做也可做到，所以當說到強大或安全，HTML5都不能說是優勢或缺點。

從意識形態的角度來看，有一件事必須承認的是，Mozilla會被認為代表開放的選擇。這是否也代表使用者在Firefox OS上會比被嚴密控制的iOS上更可能遭遇到惡意應用程式？在Firefox OS的所有細節被明確提出前，我們不能肯定 – 但看起來很可能如此。繼續閱讀

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

2013 年 02 月 21 日2013 年 02 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外，Android使用者也必須要小心那些有後門功能的應用程式。

雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體，但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告，這正好說明了針對Android攻擊的多樣化，而且還沒有看到盡頭。

而在出現這些報告之前，我們從二〇一二年七月就開始看到這類型的惡意軟體，到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本（趨勢科技偵測為ANDROIDOS_KSAPP.A，ANDROIDOS_KSAPP.VTD，ANDROIDOS_KSAPP.CTA，ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX）是從某第三方應用程式商店取得，但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類，有些會做成熱門遊戲的重新包裝版本。

我們所分析的第一批樣本是用相同的應用程式名稱，應該是來自同一家公司。

一旦這些惡意應用程式被安裝成功，它會連到下列的遠端網站以取得壓縮過的腳本程式，然後讀取這腳本程式：

https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0

https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜，因為惡意軟體可以透過新腳本程式來變更自己。

如上圖所示，這惡意軟體還會更新執行中的腳本程式，以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令，讓遠端攻擊者可以在受感染設備上執行。例如，應用程式可以執行測試用函數（代碼如下所示）：

解讀遠端腳本程式，可以用Java反射（reflections）安裝新的Java物件（如變數和函數），因此動態的遠端程式碼可以在本地端執行，這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案，應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備，執行更多可怕的指令。

二〇一二年已經成為Android威脅的一年，而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到，Android惡意軟體的數量成長到卅五萬，相對於我們在二〇一一年所看到的一千個行動惡意軟體，這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史，只是用更快的速度。如果這種趨勢繼續下去，我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬。繼續閱讀