Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 繼續閱讀

數十萬會蒐集個資的中文色情應用程式蔓延亞洲,台灣排行第三

 “想看完整影片?請升級會員 “ 但有些影片,就算升到最高等級,付錢後,還是看不到影片….這是近日一批色情應用程式的技倆 !

激情快播 (SexQvodPlay),AV大片 (AVPlayer),优优快播 (UUQvodPlay),3D快播 (3DQvodPlay),春爱影院 (SexMovie),幻想影院 (DreamMovie),绝密影院 (BannedMovie),AV快播 (AVQvodPlay),成人影院 (AdultMovie)…..這些不肖色情應用程式在亞洲蔓延,這批色情應用程式會產生一大堆廣告,甚至引來更多色情應用程式。某些還會偷偷蒐集使用者不會想透露的敏感資訊,甚至還會存取使用者的私人簡訊、地理位置、聯絡資訊、裝置識別碼,以及裝置的 SIM 卡序號。

若使用者離線,或者應用程式在審查嚴格的地區執行時,應用程式就會假裝成一般正常程式。比如提供「名言佳句」的應用程式。但是,一旦離開”警戒區”,這些應用程式就會露出真面目….

網路上最熱門的賺錢管道之就是色情,不論是合法的色情內容,或是利用色情為餌的各種網路詐騙。去年,趨勢科技發現了一個專門透過色情網站散布的新木馬程式變種:Marcher。前年,歹徒利用熱門色情應用程式為誘餌,入侵了南韓數百萬民眾的手機。

色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店

最近又出現了一波利用這類誘餌的詐騙。我們發現,有大量中文介面的色情應用程式在 iOS 和 Android 平台上散布,某些甚至滲透到 Apple 的 App Store 官方應用程式商店。目前有數十萬個這種 非必要程式 ( Potentially unwanted application 簡稱 PUA) 正透過色情網站、熱門討論區以及其他應用程式內的廣告來散布。這些程式並無特別的惡意行為,不過會蒐集使用者的敏感資訊,如果在 Android 裝置上,還可攔截使用者的私人簡訊。

趨勢科技發現這類色情應用程式正如火如荼地四處散播,而且如果使用者不在特定地區,它們還會偽裝成正常程式。其背後的散播者 (目前我們在這數十萬個程式背後找出了兩名散播者) 還會假冒知名企業來取得這些不肖程式所需的企業憑證。這些色情應用程式甚至根本無法看到其宣稱的內容,歹徒只是誘騙使用者下載更多應用程式來讓他們賺錢,或者引誘使用者購買 VIP 會員之後就沒有下文。

惡意連結,通常放在色情網站或廣告上

為了散布這些應用程式,歹徒使用了三層式派送架構:惡意連結 (通常放在色情網站或廣告上)、安裝機制 (通常偽裝成正常的應用程式安裝網站)、後台伺服器 (用來製作與存放 PUA)。當使用者點選惡意連結,就會被導向惡意程式安裝機制,接著會出現畫面請使用者下載後台伺服器上的某個應用程式。

Figure 1. The Void Arachne campaign attack diagram

圖 1:三層式派送架構:惡意連結–>安裝機制–>後台伺服器。

經由這樣的架構,歹徒很容易將這類程式 散布到各種作業系統。不過,這個機制要能運作,歹徒必須蒐集使用者系統的相關資訊。一旦確定使用者所使用的作業系統之後,就會將使用者導向不同的網址來下載對應的應用程式。

Figure 2. An attacker-controlled website that hosts a malicious payload

圖 2:歹徒的程式碼會根據不同瀏覽器版本來安裝不同應用程式。

主要分佈在中國大陸,其次為日本和台灣

趨勢科技已發現多個色情網站就是利用 HTTP 重導的方式來散布不同的應用程式。由於此方法成效良好,因此這些不肖應用程式已經蔓延至許多亞洲國家,大多數都是華人地區,原因應該是這些程式都是中文介面:

Figure 3. VPN advertising services that can “overcome” the Great Firewall of China

圖 3:Android 不肖色情應用程式蔓延至許多亞洲國家,台灣排行第三

含有不肖色情應用程式連結的色情網站 繼續閱讀

出現在 iOS App Store上不尋常的記帳軟體

 

 

第三方應用程式商店竟可以藏身在 iOS App Store?!

iOS生態系通常被描述為封閉性的生態系統,處在 Apple的嚴格控制之下。但有心人士還是有辦法跳脫這嚴格的控制。還記得 Haima 應用程式嗎?它利用Apple所發放的企業憑證 – 這成本很高,因為所需的憑證要頻繁地改變。

趨勢科技最近發現一個可以從官方 iOS App Store下載的記帳應用程式,該應用程式帶有日文字,但應用程式商店本身是用中文。此外,它也出現在多個國家的App Store內。這個軟體名稱為為「こつこつ家計簿 – 無料のカレンダー家計簿」,也就是家庭記帳軟體。看起來是個家庭財務助手軟體,但實際上是一個第三方應用程式商店。透過這個第三方商店,可以下載被蘋果禁止的越獄應用程式,Apple已經將它從App Store中刪除。

 

圖1、iOS App Store內的家庭記帳軟體

 

 

圖2-4、應用程式啟動的各階段

 

程式碼(如下圖5)顯示當它首次啟動時會檢查系統使用者設定 plist 內的 PPAASSWOpenKey 鍵值。該應用程式利用這鍵值確認之前是否執行過:如果沒有,就不會有鍵值存在。該應用程式會轉去執行其他動作,要求資料使用權限來存取第三方商店。因為 iOS的權限機制,這請求需要由使用者(圖2)同意。第一次請求失敗讓應用程式轉成記帳本畫面,偽裝成合法應用程式(圖3)。圖3的文字聲稱資料存取權限是從應用程式匯出資料所必須。 繼續閱讀

iOS 非官方應用程式商店,海馬小助手程式暗藏惡意行為

趨勢科技先前曾在一篇部落格當中探討過 iOS 平台的海馬 (海马)第三方應用程式商店。這商店中可發現許多被重新包裝並加入廣告模組的正版應用程式。

此應用程式商店之所以熱門,可說是拜「海馬蘋果助手」程式之賜。這是一個搭配其商店,讓使用者很容易安裝及管理應用程式的一個小程式,其角色類似大多數 iOS 使用者所用的 iTunes 程式。

只是很不幸地,這個程式本身就帶有惡意程式碼,趨勢科技將它命名為: TSPY_LANDMIN.A。

先安裝正牌 iTunes 程式

這個小助手需從海馬官方網站上下載,它會提醒使用者先直接從海馬的網站下載某個特定版本的 iTunes (12.3.2.25) 程式。此程式與 Apple 官方提供的版本一致,只是並非最新版本。

圖 1:iTunes 下載提示訊息。

圖 2:下載來源為海馬的伺服器。

這個小助手程式其實不需要 iTunes,此步驟只是要安裝該 iTunes 版本隨附的 iPhone 驅動程式而已。

接著套用修補套件

安裝好 iTunes 之後,程式接下來會從海馬的伺服器下載一個修補套件: 繼續閱讀

DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。 繼續閱讀