app - 資安趨勢部落格

你下載的App都安全嗎?四招遠離手機病毒

2019 年 07 月 31 日2019 年 08 月 05 日趨勢科技 TrendMicro

非法應用程式是智慧型手機的主要威脅之一。最近，不僅是從郵件或社群網路、假官網粉絲頁等企圖誘導用戶至非法網站，甚至在官方應用程式商店上亦發現到非法應用程式。

從非官方網站上下載應用程式的風險

何謂非法應用程式，指的就是進入智慧型手機或是平板電腦的裝置內進行非法行為的總稱。萬一，安裝了非法應用程式的話，你的裝置不旦會遭非法操控及資訊遭竊，還會被誘導至一直出現廣告的非法網站等，並可能暴露在種種的威脅下。

網路犯罪者主要會在非官方網站/非官方商店散佈非法應用程式。例如，對正在瀏覽正規網站的用戶顯示「系統錯誤」「感染病毒」等的假警告畫面，讓用戶開啟連結企圖誘導前往非法網站。在此，佯稱為了要進行系統更新或是清除病毒等需要安裝必要的程式，藉此讓用戶安裝非法應用程式。同時，還發現到會藉由假的簡訊誘導用戶前往知名宅配業者或通訊業者的假網站。另外在網路上還發現到多數偽裝成受歡迎的人氣遊戲及相機的假應用程式，在此呼籲從來歷不明的網站安裝應用程式時應多加留意。

[延伸閱讀] 每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

官方商店也有非法應用程式

迴避非法應用程式最基本的一個對策就是，「從官方應用程式商店取得應用程式」。但是，官方商店內亦可能有非法應用程式會矇混其中。

趨勢科技在Google Play上發現針對Android裝置,偽裝成語音信箱及相機、遊戲等的非法應用程式。這些非法應用程式不僅會盜取裝置內的資訊，亦會顯示彈出式的假廣告，企圖誘導用戶至釣魚詐騙網站及散佈成人色情應用程式的網站。

繼續閱讀

每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

2019 年 07 月 05 日2024 年 08 月 09 日趨勢科技 TrendMicro

隨著行動廣告支出的逐年增加，網路犯罪分子也會持續嘗試用更加巧妙的伎倆來透過廣告軟體賺取非法利潤。趨勢科技最近觀察到一波進行中的廣告軟體活動（趨勢科技偵測為AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA）隱藏在182個免費下載的遊戲和相機應用程式背後。它們大部分都能夠在Google Play上找到，已經被下載了數百萬次。這波廣告軟體活動可以隱藏應用程式圖示，跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測。

每五分鐘跳出全螢幕廣告!182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載數百萬次 — 這波廣告軟體活動可以隱藏應用程式圖示，跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測,圖為中文廣告樣本。

趨勢科技在2019年6月中旬發現這波偽裝成遊戲和相機應用程式的廣告軟體活動。我們根據應用程式的行為產生啟發式特徵碼來分析偵測到的其他樣本。經過分析應用程式套件名稱、標籤、發布時間、離線時間、程式碼結構以及程式碼樣式和功能後，我們推斷這波廣告軟體活動自2018年以來就一直活躍著，雖然所用的應用程式是由不同開發者所提交。

182應用程式，有111個出現在Google Play

在182個會載入廣告軟體的應用程式裡，有111個可在Google Play上找到。其他惡意應用程式可在託管一般應用程式的第三方商店找到（如9Apps或PP Assistant）。經過分析，我們發現Google Play上的111個應用程式中有43個是獨特或具備不同功能，其餘的則是迭代或重複的應用程式。

我們在分析過程中發現此波廣告軟體活動所用的惡意應用程式都已從Google Play上移除。這些應用程式在移除前的下載總量為 9,349,000。

圖1. 最後八個假遊戲和相機應用程式也已從Google Play上移除。這波廣告軟體活動所用的111個惡意應用都已經從Google Play移除。

繼續閱讀

Google Play和Microsoft商店移除可疑的應用程式

2019 年 04 月 22 日2019 年 05 月 17 日趨勢科技 TrendMicro

https://blog.trendmicro.com/wp-content/uploads/2019/04/20180416024858842-951-S8oXcwu-800-300x200.jpg

Google Play和微軟最近都從自己的網路商店移除多個可疑的惡意應用程式。Google從Play商店移除總數29個美肌相機應用程式，其中有大多數都會向使用者派送色情內容或將其導到釣魚網站。趨勢科技發現的這些惡意美肌相機應用程式看起來合法，但一旦安裝就很難被移除。

同時微軟商店也移除了八個挖礦劫持應用程式，包括Fast-search Lite、FastTube和Clean Master等。一旦下載安裝，這些應用程式就會在其網域伺服器啟動Google代碼管理工具，接著會啟動挖礦腳本。挖礦劫持是種會利用他人設備非法挖掘虛擬貨幣的惡意活動 – 如果你安裝了這些應用程式，那受害的就是你的裝置了。

繼續閱讀

【手機病毒】想要拍出好氣色,當心29款美肌相機應用程式會發送色情內容,還會偷個資盜用照片

2019 年 02 月 01 日2019 年 03 月 15 日趨勢科技 TrendMicro

Google Play上出現多款美肌相機應用程式會發送色情內容，將使用者導到釣魚網站或收集他們的照片。
趨勢科技在Google Play上發現多款相機應用程式（偵測為AndroidOS_BadCamera.HRX）會連到遠端廣告配置伺服器來做出惡意行為，
包括 Pro Camera Beauty、Cartoon Art Photo與Emoji Camera 三款已經被下載了數百萬次
，Artistic effect Filter的下載數量超過30萬，逾10萬下載量的則有Art Editor、Beauty Camera、Selfie Camera Pro、Horizon Beauty Camera、Super Camera、Art Effects for Photo及Awesome Cartoon Art。

Google Play上出現多款美肌相機應用程式會發送色情內容，將使用者導到釣魚網站或收集他們的照片 — *圖1.Google Play上惡意美肌應用程式的截圖*

過年親友團聚，各種打卡拍照不能少，套用各種美美的濾鏡就能簡單拍出好氣色，但現在要小心了！趨勢科技在Google Play上發現多款熱門的相機應用程式（偵測為AndroidOS_BadCamera.HRX）會推送欺詐和色情內容的惡意廣告，甚至引導受害者下載付費色情播放程式（偵測為AndroidOS_PornPlayer.UHRXA），或是連結到遠端廣告配置伺服器從事廣告分析。值得注意的是，此類應用程式有部分已經被下載了高達數百萬次，其中來自亞洲的下載量更為大宗！

隱藏圖示,難以移除

使用者在下載這些應用程式後並不會馬上感覺有何不妥，直到決定要移除應用程式時才會發現可疑之處。以com.beauty.camera.project.cloud為例，它會在執行後建立一個捷徑。但會從應用程式列表隱藏圖示，讓使用者難以移除，因為沒辦法點選刪除。此外，這些相機應用程式使用了加殼技術（packer）來防止被分析。

Figure 2. Code snippet to show how the malicious app hides itself from the application list

圖2、顯示惡意應用程式如何從應用程式列表隱藏自身的程式碼

廣告大放送,包含付費了卻看不見任何東西的線上色情播放程式

當使用者解鎖手機時，應用程式會推送好幾個全螢幕廣告，包括用瀏覽器跳出的惡意廣告（包括欺詐性內容和色情內容）。在我們的分析過程中，趨勢科技發現一個付費的線上色情播放程式（偵測為AndroidOS_PornPlayer.UHRXA）會在點擊跳出視窗時下載。但要注意的是，即使使用者付錢來執行播放程式也不會出現任何內容。

恭喜贏得iPhone X?導向釣魚網站來要求使用者提供個人資料

繼續閱讀

遍及93國,竊取 377 種銀行應用程式個資的Anubis 銀行木馬,偽裝匯率轉換和電池節能app,利用動作感應資料躲避偵測

2019 年 01 月 25 日2019 年 01 月 27 日趨勢科技 TrendMicro

集銀行木馬、勒索病毒、鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播。
Anubis本身內建的鍵盤側錄功能，能記錄使用者輸入的按鍵，也可直接截取使用者的裝置畫面，以便獲得帳號登入憑證。
根據趨勢科技的資料顯示，最新版的 Anubis 已散布至全球 93 個國家，可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外，Anubis 一旦成功執行，還有可能取得裝置上的通訊錄及定位資訊，也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人。

最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式，這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。

第一個電池節能工具已累積了 5,000 次以上的下載，並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的，因為其中參雜了一些匿名用戶的評論，並且有些評論邏輯不通且缺乏實質內容。

根據趨勢科技對這波攻擊的研究，這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為 ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後，證明其程式碼與已知的 Anubis 樣本極為類似。此外，我們也發現它會連上位於「aserogeege.space」網域的幕後操縱 (C&C) 伺服器，該網域也與 Anubis 有所關聯。

這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址，而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址，從 2018 年至今大約已更換過六次，顯示歹徒的攻擊行動相當活躍。