Android - 資安趨勢部落格

關於手機應用程式Carrier IQ的真正問題

2011 年 12 月 26 日2011 年 12 月 30 日趨勢科技 TrendMicro

最近網路上一直在討論Carrier IQ（一個被預載在手機裡用去監控網路和手機性能的應用程式）和跟它有關的個人隱私問題。

在關於Carrier IQ的報導裡提出了許多問題，關於它所收集的資料，它不經由使用者同意就預裝在某些手機的情形，還有使用者可以怎麼去處理它。

跟據這些報告，Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實，他是最先對Carrier IQ提出質疑的研究人員。

全都是服務的一部分

讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現，像是簡訊、電話、網路還有其他的服務。

以這為前提，我們可以說收集跟上述手機功能相關的使用情況是很有道理的，甚至對電信業者來說是必要的，才能有效地監控他們所提供的服務跟解決任何問題。

我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過，他指出Eckhart的影片是在詳細除錯模式下進行的，並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法，Carrier IQ的確會記錄發簡訊時的按鍵，但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時，鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊，不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。繼續閱讀

檢查Andorid Market 上真假 Angery bird 憤怒鳥的 4 種方法

2011 年 12 月 21 日2011 年 12 月 30 日趨勢科技 TrendMicro

上週六趨勢科技於台北辦公室舉辦家庭日活動，除了七百位員工之外，更有近兩百位小小趨勢人到場與三位創辦人同樂，讓大小員工一同周末放輕鬆，在雲端防毒基地- PC-cillin 研發總部樂翻天！趨勢科技台灣團隊運用巧思，融合現下潮流智慧型手機遊戲Angry Bird、海賊王，以及經典童話艾莉絲夢遊仙境等主題，打造專屬趨勢科技眷屬的雲端遊園地。風靡無數大人與小朋友的非 Angry bird主題館莫屬了。

憤怒鳥熱潮,使得惡意應用程式趁機作亂,比方說，真正的憤怒鳥在Android Market 網頁上顯示是由Rovio Mobile所開發的，但是惡意程式版本的開發者是Rovio Mobile。

有些標榜免費的「Angry Birds(free)」是真的憤怒鳥嗎?假Angry Bird “免費”應用程式, 會偷偷收取簡訊費,即使Google目前移除了這些應用程式，但不排除未來在以不同的名稱出現。以下這篇文章趨勢科技要教你分辨真假憤怒鳥的方法。

憤怒鳥 Angery bird 大人小孩都瘋狂圖為趨勢科技創辦人張明正在趨勢科技家庭日與趨勢人眷屬同歡

作者：趨勢科技 Kervin Alintanahin（威脅分析師）

Android Market又再次被惡意軟體給入侵了，有些加值服務濫用程式（被趨勢科技偵測為ANDROIDOS_RUFRAUD.A）被偽裝成合法應用程式上傳到網站上。只有少部分使用者在Google將它們下架前安裝了這些惡意應用程式 – 這麼快的動作是因為有警覺的使用者和資安公司的快速回報。

雖然這個惡意應用程式目前已經被Android Market給移除了，我們還是必須持續的戒備著，以防止惡意應用程式在以後又用新的面貌出現。特別是Android提供特賣以慶祝他們的10億次下載，使用者更容易因為低價而去安裝其所提供的應用程式。

為了讓使用者可以在他們的Android上安裝更多很酷的應用程式又不會被惡意軟體所害，趨勢科技提出一些安裝應用程式之前要先記得的關鍵事項：

1. 檢查開發者的名稱

網路犯罪分子經常會利用某些應用程式的流行而去偽裝成它們。但是，因為它們不能以原始開發者的名義發佈，所以開發商的名稱可以說是合法軟體的好指標。比方說，真正的憤怒鳥在Android Market網頁上顯示是由Rovio Mobile所開發的，但是惡意程式版本的開發者是Logastrod：

繼續閱讀

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

2011 年 11 月 25 日2011 年 12 月 07 日趨勢科技 TrendMicro

作者：Mark Balanza （威脅分析師）

趨勢科技最近分析了手機病毒 – DroidKungFu的最新變種，偵測為ANDROIDOS_KUNGFU.CI。當我們監控ANDROIDOS_KUNGFU.CI和它的遠端伺服器之間的網路流量時，我們偶然的看到一個刪除某特定套件的指令。

在上面這個指令裡，伺服器指示惡意軟體刪除套件 – com.practical.share。趨勢科技看過其他伺服器會送出的指令，像是更新惡意軟體的程式碼，安裝一個Android安裝套件（APK），或是打開一個網址。

趨勢科技研究了一下這個套件，發現這個被刪除的套件是一個新的DroidDreamLight變種。DroidDreamLight家族為人所知的就是會發送通知訊息，而這也是它社交工程陷阱的一部分。誘騙使用者去點擊通知訊息，就會下載新的元件或是自我更新。

這個特定的DroidDreamLight變種被偵測為ANDROIDOS_DORDRAE.O，當手機啟動或是收發通話的時候會啟動一個服務 – 「SystemConfService」。它會上傳跟之前版本一樣的資訊。

我想看看這個惡意軟體所會產生的通知訊息，所以我就架設一個網頁伺服器，修改模擬器的網路設定讓惡意軟體可以對它進行連線，藉此來進行測試。根據我對這程式碼的分析，惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案：

惡意軟體會顯示四種類型的通知訊息：

更新

繼續閱讀

智慧型手機病毒歷史小回顧: 2004 年始祖Cabir透過中毒手機來發送加值服務簡訊賺錢

2011 年 11 月 21 日2022 年 06 月 13 日趨勢科技 TrendMicro 125 筆留言

作者：趨勢科技資深分析師Rik Ferguson

一年一度的英國Get Safe Online week（線上安全週）起跑了。這個活動，主旨是提高一般使用者和小型企業對於網路犯罪威脅的認識。該活動重點是手機惡意軟體，我被邀請去介紹並展示這樣的威脅是怎麼發生的。我和BBC一起合作的短片示範了簡訊詐騙惡意軟體是如何的難以察覺卻又具有破壞性，還有它會對受害者造成的金錢損失。

請參考: Smartphone malware danger warning from experts (智慧型手機詐騙：使用者要小心惡意應用程式)

手機病毒的歷史可以回溯到2004年時出現的Cabir，它是後來許多變種的始祖。Cabir病毒感染的是Symbian的系統，它剛開始出現只是用來證明手機病毒的概念。但是很快的，就被有不良企圖的人拿來濫用。Cabir會透過中毒手機來發送加值服務簡訊賺錢。而也意味了這的確是種有效的賺錢方式。到了2009年，簡訊詐騙木馬成了手機惡意軟體的大宗。而且這樣的趨勢還在繼續下去並且更加成長，因為智慧型手機也變得更加普及了。繼續閱讀

手機成竊聽器?愈來愈多的手機間諜軟體公開販售!!

2011 年 10 月 20 日2020 年 06 月 23 日趨勢科技 TrendMicro

<2013/11/15 更新>今日蘋果日報報導指出高雄一名男子去年底販售竊聽手機的抓姦軟體，遭警方查獲，沒想到交保後變本加厲，再加入「竊取帳號密碼」的新功能,推出可竊取臉書、電郵帳號密碼，及攔截 LINE 的「升級版」軟體，男子還可到府安裝。高市一對三十多歲夫妻，因為太太晚歸，先生懷疑太太在外有「小王」，趁太太晚間回家洗澡時，偷拿太太的手機到樓下交給許嫌安裝竊聽軟體，太太的手機被植入之後，臉書、郵件，還有LINE的對話統統曝光。

==============================================

高層手機險被駭！外交部開會前「繳械」這篇報導中說過去為保密防諜，國防部和特勤中心官員，一律「手機繳出集中保管」，不過最近外交部，開會前也實施「手機集中繳械」，還做了可上鎖的「養機場格子」，因為國安單位監控發現，外交部等重要部會，常有異常訊號顯示，「高層」手機差點被遠端駭入，為防止機密外洩，外交部力行「保密措施」，重要外交談判，搬出「電波干擾器」，阻斷與會者手機訊號。

其實手機成竊聽器的案例,不只發生在高層,這個《小三與情人們的手機間諜戰》中,一個可追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次,趨勢科技也曾介紹過手機成竊聽器!!冒充Google+ 圖示,駭你全都露,這是繼側錄外撥電話，並將錄音傳送到某個遠端網站的Android 惡意程式ANDROIDOS_NICKISPY.A 和ANDROIDOS_NICKISPY.B 之後，另一個與ANDROIDOS_NICKISPY.A 程式碼結構相同的惡意程式

ANDROIDOS_NICKISPY.C,，除了少許不同之外，此程式行為上也和前者頗為類似。包含攔截簡訊,使用者手機的GPS定位和竊取eMail 等敏感資料,技高一籌的是它會自動接聽和祕密監聽電話等惡意行為。ANDROIDOS_NICKISPY.C 惡意程式運用了當時 Google 新近發表的社交網路 Google+ 來偽裝，試圖不讓使用者發現。所有上述服務都使用了 Google+ 圖示，而其應用程式本身則以 Google++ 的名稱來安裝。

越來越多的間諜軟體( Spyware)出現在應用商店(App Stores)，特別是針對那些Android的使用者。其中一個被媒體特別報導的已經超越一般典型的間諜軟體，包括會轉發簡訊和將GPS資訊傳送出來。除了上述幾項，這個間諜軟體( Spyware)還會錄下受感染設備上的電話通訊。