Android - 資安趨勢部落格

原本應該用來協助清除、整理、刪除無用檔案以優化系統的程式，化身為惡意程式, 總計已累積超過 47 萬次下載。這波攻擊背後的網路犯罪集團會利用受害裝置，在應用程式商店發表正面評價來推升這些惡意程式的人氣，此外不只會向受害者推送廣告,還會幫你點選彈出的廣告,來從事各種廣告詐騙,連推薦頁面底下都會顯示一些惡意廣告內容與木馬程式,並可用受害者的 Google 和 Facebook 帳號登入被遠端安裝的惡意應用程式。
這些惡意應用程式潛伏在許許多多正常的行動廣告平台當中，如：Google AdMob、Facebook Audience Network 等等。
此攻擊會停用 Google Play Protect 資安防護功能,企圖偷偷下載惡意檔案並安裝更多惡意程式而不被使用者發現。
影響最嚴重的國家分別為：日本、台灣、美國、印度及泰國。

3,000 多個惡意程式偽裝成Android 系統優化程式，可利用 Google 和 Facebook 帳號登入被遠端安裝的惡意應用程式

趨勢科技在 Google Play 商店上發現多個會存取遠端廣告伺服器的系統優化、強化工具程式 (趨勢科技命名為 AndroidOS_BadBooster.HRX) ，這批可能下載到裝置的 3,000 多個病毒(惡意程式變種或惡意檔案)，趨勢科技命名統稱為「AndroidOS_BoostClicker.HRX」，它們會偽裝成系統應用程式，所以不會在裝置桌面或應用程式列表當中顯示圖示。

九款 Google Play上的惡意軟體，分別是Shoot Clean-Junk Cleaner,Phone Booster,CPU Cooler、Super Clean Lite- Booster, Clean&CPU Cooler、Super Clean-Phone Booster,Junk Cleaner&CPU Cooler、Quick Games-H5 Game Center、Rocket Cleaner、Rocket Cleaner Lite、Speed Clean-Phone Booster,Junk Cleaner&App Manager、LinkWorldVPN和H5 gamebox。

圖 2：惡意廣告伺服器關聯示意圖 (根據 VirusTotal 的資料)。
*註：紅色節點代表已被多家資安廠商偵測到的節點。*

宣稱可提升手機效能的「Speed Clean」，不但會跳出廣告，還會建立背景遮蓋惡意內容

在這波攻擊當中有一個名為「Speed Clean」的應用程式 (見圖1)，該程式宣稱可提升行動裝置效能，它會在使用過程中跳出廣告，這一點對行動應用程式其實見怪不怪。

但我們卻觀察到受害裝置會偷偷出現一些不良行為，此外 Speed Clean 應用程式還會建立一個透明活動背景 (transparent activity background) 來遮蓋其惡意內容。

圖 4：在受害裝置建立一個透明活動背景 (transparent activity background) 的程式碼。

向受害者推送廣告，推薦頁面底下會顯示一些惡意廣告內容與木馬程式

隨後，一個名為「com.adsmoving.MainService」的惡意服務 (在Java 套件 com.adsmoving 內部) 會與遠端廣告伺服器建立連線來註冊新安裝的裝置。

註冊完成之後，Speed Clean 就會開始向使用者推送廣告，該程式的「Recommend Pages」(推薦頁面) 底下會顯示一些惡意廣告內容與木馬程式。

圖 5：惡意服務「com.adsmoving.MainService」的程式碼。

圖 6：一些惡意應用程式，如 Android 應用程式安裝套件「alps-14065.apk」和「com.play.games.center_1.0.3.apk」(趨勢科技命名為：AndroidOS_BoostClicker.HRX) 會從廣告伺服器推送至受害裝置。

「alps-14065.apk」在安裝之後不會顯示在裝置的桌面或裝置應用程式清單內。而是在「已下載」的應用程式清單下多了一個名為「com.phone.sharedstorage」的應用程式。

可能出現的五種廣告詐騙行為

這個惡意的 Speed Clean 應用程式如同 ANDROIDOS_TOASTAMIGO 這個我們在 2017 年偵測到的 Android 惡意程式家族一樣，會下載各種惡意程式變種或惡意檔案來從事多種廣告詐騙。以下是這波攻擊可能出現的一些廣告詐騙行為：

模擬使用者點按廣告的動作，點選 Google Play 上的惡意應用程式 (AndroidOS_BadBooster.HRX) 所彈出的廣告。這些惡意應用程式潛伏在許許多多正常的行動廣告平台當中，如：Google AdMob、Facebook Audience Network 等等。

圖 8：經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用 API 函式「sendPointerSync」來模擬使用者點按廣告的動作。

2.安裝來自行動廣告平台的回饋獎勵應用程式到虛擬環境內，以防止使用者發現。

圖 9：經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用 VirtualApp 來安裝新的回饋獎勵應用程式。

3.誘騙使用者在受害裝置上啟用無障礙 (accessibility) 功能的權限，並停用 Google Play Protect 資安防護功能。如此一來，就能偷偷下載惡意檔案並安裝更多惡意程式而不被使用者發現。

圖 10：經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會利用無障礙 (accessibility) 功能的權限來停用 Google Play Protect 資安防護功能。

4.利用受害裝置的無障礙功能來發表惡意系統優化程式的正面評價。

圖 11：經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會使用無障礙功能來發表有關 AndroidOS_BoostClicker.HRX 應用程式的正面評價。

5.透過無障礙功能，以使用者的 Google 和 Facebook 帳號登入新安裝的惡意應用程式。

圖 12：經過逆向工程解出的程式碼顯示 AndroidOS_BoostClicker.HRX 會利用無障礙功能，以使用者的 Google 和 Facebook 帳號登入新安裝的惡意應用程式。

趨勢科技已採集了該行動從 2017 年活躍至今的各種惡意程式變種與惡意檔案樣本，數量統計如下表所示:

年度	惡意程式變種與惡意下載檔案的數量
2017	6
2018 第一季	40
2018 第二季	37
2018 第三季	20
2018 第四季	72
2019 第一季	1076
2019 第二季	1090
2019 第三季	399
2019 第四季	23
2020 第一季	33

表 1：2017 年至 2020 年第一季惡意程式變種與惡意檔案及下載的數量。

台灣名列此波攻擊影響最嚴重的國家之一

此外，根據我們的觀察，受此波攻擊影響最嚴重的國家分別為：日本、台灣、美國、印度及泰國。

國家/地區	感染數量
日本	48,557
以色列	1,954
台灣	5,722
美國	2,497
印度	1,082
其他	5,602

表 2：過去三個月各國感染數量。

趨勢科技曾經嘗試將裝置的國碼設定成任何國家，甚至是隨便一個不存在的國碼，遠端廣告伺服器同樣還是會傳回惡意的內容。不過，如果我們將國碼設為中國 (geo=cn)，就不會傳回惡意內容。這有可能意味著幕後的犯罪集團刻意避開來自中國使用者的網路連線，換句話說，這項攻擊行動的目標似乎排除了中國的使用者。

大量的五顆星評價,留言都是:「Great, works fast and good」

詐騙集團經常製作一些看似正常的應用程式來誘騙使用者下載，因此使用者在下載任何行動應用程式之前都應預先做點必要的功課。

一般來說，首先第一步就是要查看 Play 商店上的評價。但這次的惡意程式會下載一些額外的檔案來執行，這些檔案會製造大量虛假的正面評價。但這些大量的正面評價其實也有一些蛛絲馬跡可判斷其真偽，例如，儘管這些評價都是由不同的用戶帳號所發布，但其內容幾乎一模一樣，都是「Great, works fast and good」，而且也都給了五顆星評價。

要避免感染像這樣的威脅，使用者可採用一套能防範不良廣告程式的資安軟體。趨勢科技行動安全防護可攔截各種惡意應用程式。其多層式防護能守護裝置的資料與隱私，並且防範勒索病毒、詐騙網站以及身分盜用，有助於保障使用者的安全。

針對企業機構，趨勢科技 Mobile Security for Enterprise 企業版行動安全防護提供了裝置、法規遵循與應用程式的管理，以及資料防護和組態配置，並可防止裝置遭到漏洞攻擊，避免存取未經授權的應用程式，還可偵測並攔截惡意程式和詐騙網站。趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可以利用先進的沙盒模擬分析與機器學習(Machine learning,ML) 技術來防範 Android 及 iOS 的威脅，防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

入侵指標 (IoC)

AndroidOS_BadBooster.HRX:
九款惡意應用程式列表:

應用程式名稱	應用程式套件	安裝數量
Shoot Clean-Junk Cleaner,Phone Booster,CPU Cooler	com.boost.cpu.shootcleaner	超過 10,000
Super Clean Lite- Booster, Clean&CPU Cooler	com.boost.superclean.cpucool.lite	超過 50,000
Super Clean-Phone Booster,Junk Cleaner&CPU Cooler	com.booster.supercleaner	超過 100,000
Quick Games-H5 Game Center	com.h5games.center.quickgames	超過 100,000
Rocket Cleaner	com.party.rocketcleaner	超過 100,000
Rocket Cleaner Lite	com.party.rocketcleaner.lite	超過 10,000
Speed Clean-Phone Booster,Junk Cleaner&App Manager	com.party.speedclean	超過 100,000
LinkWorldVPN	com.linkworld.fast.free.vpn	超過 1,000
H5 gamebox	com.games.h5gamebox	超過 1,000

AndroidOS_BoostClicker.HRX

SHA256 雜湊碼	檔案名稱
1e3f19dcfb23b8e04a88f87c3e4df67eba25b8012f1233295b60355b7545f5d4	com.phone.sharedstorage
d240e9809bfe98ed6af4b8853b7556a9207e6e3c325f200e9df0fdc63582fddc	SystemSecurityServices
c91327f7e48ca64c829c29e6bcb30451dab6c9d32386048165702df3a728c173	ConfigAPKs

MITRE ATT&CK Matrix™

原文出處：Malicious Optimizer and Utility Android Apps on Google Play Communicate with Trojans that Install Malware, Perform Mobile Ad Fraud 作者：Lorin Wu (行動裝置威脅分析師)

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板，跨平台防護３到位➔ 》即刻免費下載試用

▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎
) 快進來看看

有一項為期二年的研究就在 Play 商店上發現了數以千計的假冒應用程式，尤其銀行應用程式更是經常成為歹徒假冒的熱門對象，因為駭客可從中騙取使用者的登入帳號和密碼，而這些資料在地下市場非常值錢。
某些惡意程式甚至會將使用者裝置上所有正常的應用程式暗中換成惡意版本。
在受害手機等行動裝置上顯示廣告，是網路犯罪集團賺錢的另一種方法，但這些廣告卻成了使用者必須面對的惱人問題。它們不僅會消耗裝置的電量，還會占用運算資源，有些甚至會暗中蒐集使用者資訊。
2020 年行動裝置用戶該注意會讓你破財的假應用程式類型,有哪些?

我們的世界已徹底行動化，據估計，我國手機族曾透過手機上網的比率持續攀升，比率從 100 年的 35.3% 大幅成長為 107 年的 88.2%後，108年再略增為 89.8%。國內單純仰賴手機上網的人口越來越多，由 105 年的 11.9%、106 年的 18.7%、107 年的 28.0%，再增為 108 年的 31.2%。

然而在數位化的全新時代，真正重要的是行動應用程式。透過行動應用程式，人們只需動動手指，就能取得自己最愛的影片、即時通訊、電子郵件、網路銀行、社群媒體等服務。

根據一項統計，今日 Google Play 官方商店大約有 280 萬個行動應用程式。然而龐大的使用者數量，自然會引來駭客的覬覦。駭客發大財的方式之一，就是讓您不小心下載到他們偷偷在應用程式商店上架的惡意程式。

才不久前，Google 官方 Play 商店就發現了 42 個這類必須下架的惡意程式，但這些惡意程式在被下架之前的一年當中已累積了 800 萬次安裝，使得受害者裝置飽受廣告轟炸之苦。但這還只是冰山一角，隨著越來越多人將行動裝置當成上網的首要工具，犯罪集團更是如影隨形地跟著行動裝置。2018 年，趨勢科技所攔截的行動裝置威脅數量超過 8,600 萬，我們預料該數字未來還會繼續增加。

那麼，您該如何妥善保護自己的裝置和資料以防範駭客入侵呢？

繼續閱讀