36個假資安之名廣告程式,藏身 Google Play,蒐集個資、追蹤位置,大賺廣告財

2017 年 12 月初,趨勢科技在 Google Play 官方應用程式商店上總共發現了 36 個會出現不當行為的應用程式。這些應用程式皆有著貌似安全軟體/資安工具的應用程式名字,例如:Security Defender、Security Keeper、Smart Security、Advanced Boost 等等。此外更宣稱具備各種實用功能:掃瞄、清理系統、節省電力、幫 CPU 降溫、鎖住應用程式,以及提供訊息安全、WiFi 安全等等。

應用程式一旦執行之後,使用者就會看到一大堆安全警告、電量過低等通知及緊緊相隨的廣告訊息。例如,當使用者在安裝其它應用程式時,它會立即警告使用者該程式疑似惡意程式。或者,使用者可能會看到系統浪費了 10.0 GB 的空間,提醒使用者採取某種行動。在核對過原始程式碼之後,我們發現這些安全警告的其實都是假的,其目的是背後暗中蒐集使用者的資料、追蹤使用者的定位資訊,並大賺廣告財。

惡意應用程式會將使用者個人資料、已安裝的應用程式,以及附件檔案、使用者操作資訊、觸發的事件等資訊傳送至遠端伺服器。除此之外,還會蒐集 Android ID、網路卡實體位址 (MAC)、IMSI (行動電信業者識別資料)、作業系統資訊、裝置品牌與型號、裝置詳細資訊 (螢幕大小和畫素密度)、語言、地理位置資訊以及裝置已安裝應用程式。

 

要確保行動裝置安全並保護珍貴資料,使用者可採取以下五個基本動作:

  1. 廠商通常會盡速修補自家應用程式和軟體的漏洞,所以使用者務必隨時更新到最新版本。更新是保持行動裝置安全、防範已知威脅的必要動作。 繼續閱讀

超過百萬下載次數,卻是冒牌WhatsApp?

(圖片來源: iThome)

Google Play冒牌應用程式的事件層出不窮,近日竟輪到非常受歡迎的應用程式:WhatsApp,雖說它是全球擁上億使用者的社群軟體,但也同時被企業列為黑名單,因為存在高度的安全疑慮。

此次的事件並非來自真實版應用程式的威脅,而是出現惡意的廣告軟體wrapper,仿冒真實名稱為WhatsApp Messenger的應用程式,將名稱多了一個字變為Update WhatsApp Messenger,來誘騙使用者下載,想大賺廣告財!

在上週經由網友發現通報後,Google已經緊急將之下架,不過卻已經有超過100萬下載次數。

不少網友抱怨為何此惡意軟體能躲過Google Play Protect安全防護服務的掃瞄,過去也曾在Google Play商店中發現銀行木馬程式、惡意廣告軟體,或是騙取高價簡訊費用的惡意程式,因此在現今的網路通訊時代,方便的服務往往潛藏著危險,任何與自身資安有關的行為都要再三確認。

保護行動裝置,有更安全的辦法,開啟趨勢科技「安全達人」的兩項免費功能:雲端防毒、隱私防窺,避免自己成為詐騙集團的下手對象:

★ 雲端防毒:一指檢查手機健康,讓手機內會竊取手機資訊、機密資料的惡意、偽裝、或病毒App無所遁形。使用趨勢科技連續多年得到AV-TEST最佳保護獎認證的雲端掃毒技術,即時掃描正在下載的APP,防止遭受惡意程式入侵,有效避免手機個資

★ 隱私防窺:針對可能竊取手機資料的應用程式即時提出警告,不用擔心個人資料外洩遭竊或是相簿、聊天內容遭到偷窺,甚至是財務上的損失。

資料來源:iThome

Google Play 再現加密貨幣採礦惡意程式

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷,但對於受害裝置的使用者來說,壞處卻是很明顯的:裝置耗損更快、電池壽命縮短、手機效能變慢。

最近,趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為:ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前,趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力

ANDROIDOS_JSMINER:利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現,這就是:ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本,其中一個是使用者誦經禱告幫手,另一個是提供各類折扣優惠資訊。

圖 1 和 2:Google Play 商店上的兩個 JSMINER  惡意程式樣本。

不過這兩個惡意程式樣本在啟動之後都會載入 Coinhive 所提供的一個 JavaScript 程式庫,隨即便開始用駭客的網站金鑰來開採數位加密貨幣。

圖 3:應用程式啟動之後開始採礦的程式碼。

這個 JavaScript 程式碼會在應用程式的網頁視窗中執行,但使用者卻不會看到,因為該視窗預設會以隱形模式執行。 繼續閱讀

Google Play 再現惡意程式,Sockbot 可利用遭感染手機發動 DDoS 攻擊

最近 Google Play 商店上有 8 個被下載 60 萬至 260 萬次的應用程式,被發現感染了 Sockbot 惡意程式 (趨勢科技命名為 ANDROIDOS_TAPJOY.OPD)。此惡意程式不僅會暗中下載廣告幫歹徒賺錢,還會讓感染的裝置成為「Botnet傀儡殭屍網路」成員。

偽裝熱門遊戲《Minecraft: Pocket Edition》,宣稱可讓玩家自訂其角色造型

這批應用程式會偽裝成熱門遊戲《Minecraft: Pocket Edition》的修改程式,宣稱可讓玩家自訂其角色造型。不過,這些程式卻也會暗中幫歹徒賺取廣告費用。

[TrendLabs 資訊安全情報部落格:GhostClicker 廣告程式是如幽靈般的 Android 點閱詐騙程式]

根據資安研究人員表示,此應用程式會暗中連上歹徒的幕後操縱 (C&C) 伺服器 (經由連接埠 9001)。接著,C&C 伺服器會要求應用程式建立 Socket Secure (SOCKS) 通訊協定連線至 C&C 伺服器指定的 IP 位址及連接埠。連線建立之後,應用程式會再連上歹徒指定的另一個伺服器,該伺服器會提供一份廣告清單及相關資料 (如:廣告類型、螢幕大小)。然後,應用程式再經由 SOCKS 代理器 (Proxy) 連線到某個廣告伺服器去接收廣告。

研究人員發現 Sockbot 的機制如果進一步強化,就可以用來攻擊網路相關的漏洞。而且,憑著 Sockbot 挾持裝置的能力,被感染的裝置還可能被用來發動分散式阻斷服務攻擊 (DDoS)攻擊。 繼續閱讀

BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證

Android 平台 BankBot 惡意程式:ANDROIDOS_BANKBOT, 首次現身於今年 1 月。根據報導,它是從某個外流至地下駭客論壇的不知名公開原始碼銀行惡意程式強化而來。BankBot 之所以尤其危險,是因為它會偽裝正常的銀行應用程式,將自己的網頁覆蓋在正常的銀行應用程式操作介面上,進而騙取使用者的帳號密碼。此外,BankBot 還能攔截手機簡訊,因此不怕使用者啟用手機簡訊雙重認證。

Google Play 商店發現 BankBot 惡意程式偽裝成正常的應用程式到處散佈

在這一整年當中,Bankbot 一直偽裝成正常的應用程式到處散布,有些甚至在熱門應用程式商店上架。今年 4 月7 月,Google Play 商店上出現了含有 Bankbot 惡意程式的娛樂或網路銀行應用程式,總數超過 20 個以上。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

最近,趨勢科技在 Google Play 商店上發現了五個新的 Bankbot 應用程式,其中有四個假冒成工具軟體。有兩個被立即下架,其他兩個則待得久一點,因此已經被使用者下載。BankBot 的下載次數約在 5000-10000 之間。

這次的 BankBot 新變種會偽裝成 27 個國家的銀行應用程式。此外,被假冒的應用程式數量也從 150 個增加到 160 個,新增了十家阿拉伯聯合大公國銀行的應用程式。

最新的 BankBot 版本只有在裝置滿足以下條件時才會運作:

  • 執行環境必須是真實的裝置 (而非模擬器)
  • 裝置所在位置不能在獨立國協 (CIS) 國家境內
  • 手機上原本就已安裝它所要假冒的應用程式

 將山寨網頁覆蓋在正常銀行應用程式上方,以攔截使用者所輸入的帳號密碼

當 BankBot 成功安裝到手機上並且開始執行時,它會檢查裝置上安裝了哪些應用程式。一旦找到它可假冒的銀行應用程式,就會試圖連上幕後操縱 (C&C) 伺服器,然後將該銀行應用程式的套件名稱和標籤上傳至伺服器。接著,C&C 伺服器會傳送一個網址給 BankBot,好讓它下載一組程式庫,內含用來覆蓋在銀行應用程式畫面上的網頁。惡意程式會將這些網頁覆蓋在正常銀行應用程式的畫面正上方,這樣就能攔截使用者所輸入的帳號密碼。 繼續閱讀