假壞蛋豬/搗蛋豬(Bad Piggies)遊戲,一下載即亂發簡訊,受駭者買單
趨勢科技發現某個網站提供不同平台的壞蛋豬(Bad Piggies)供下載,不過不是真正的版本,使用者下載的是一個病毒:ANDROIDOS_FAKEINST.A惡意APK檔案。一旦安裝完畢,它會在手機等設備首頁上建立一個捷徑,並且發送簡訊到特定號碼。這些簡訊是在未經使用者同意下發送的,可能會讓
在未經使用者同意下發送簡訊,造成不必要的費用。
仔細剖析惡意版本壞蛋豬/搗蛋豬
趨勢科技發現有個piggies-{BLOCKED}d.ru的網址疑似該應用程式下載頁面。
趨勢科技在 Google Play 和某些第三方 App 應用程式商店發現四個 Android App 程式在安裝之後會不經使用者同意即存取某些裝置資訊,並且可能導致資料外洩。其中一個 App 程式目前已經從 Google Play 下架,但還是可以在第三方應用程式商店上找到。這些 App 程式是針對即將來臨的 2012 年美國總統大選與二位候選人:Mitt Romney 和 Barack Obama 而設計。使用者可免費下載這些應用程式。
第一個應用程式叫作:「Obama vs Romney」,這是一個 ANDROIDOS_AIRPUSH 變種,會連線至 airpush.com 這個行動裝置廣告網路網站。此 App 程式的說明頁面指出該程式可能會顯示一些廣告通知。趨勢科技發現,目前此 App 程式已在第三方商店上累積了 300 多次下載,並且 Google Play 上的下載次數估計也在 500-1000 之間。
此 App 程式原本的設計是用來做民意調查,讓使用者從二位候選人當中做出選擇。理論上它應該會立即顯示整體的民調結果。但是,根據趨勢科技的測試,它最終只會顯示一個訊息「you probably want to start clicking as soon as possible」(或許您應該盡快開始點按)。此外,這個 App 程式還會顯示一些來自 airpush.com 的惱人廣告,而且是出現在該 App 程式之外的地方。
該程式也會要求 ACCESS_COARSE_LOCATION (存取粗略定位) 權限,因此會讀取裝置所在 GPS 定位以及其他的資訊。
第二個 App 程式叫作「Captain America Barack Obama 1.0」(也就是趨勢科技偵測到的 ANDROIDOS_ADWLEADBOLT 變種),它會在裝置上安裝一個 Barack Obama 3D 桌布與美國國旗。此程式已經從 Google Play 下架,但仍可在第三方應用程式商店上找到。該程式與「Obama vs. Romney」程式類似,會取得 ACCESS_COARSE_LOCATION (存取粗略定位) 及其他權限,因此能讀取裝置的 GPS 定位、CellID 與 Wi-fi 定位等資訊。安裝時,它會在裝置首頁畫面上建立一個捷徑。截至目前為止,此 App 程式已經在第三方商店上累積了 720 次下載。
最後二個 App 程式是「Barack Obama Campaign LWP 1」和「Mitt Romney Live Wallpaper 1」(二者都是我們所偵測到的 ANDROIDOS_ADWLEADBOLT 變種)。兩者都會要求 ACCESS_FINE_LOCATION (存取精細定位) 和 ACCESS_COARSE_LOCATION (存取粗略定位) 權限。
如同前面提到的 App 程式,這二個都會在裝置上顯示廣告。使用者可以點選某個 URL 來關閉這些廣告,但卻會因此洩漏裝置的國際行動裝置識別碼 (International Mobile Equipment Identity,簡稱 IMEI 碼) 與裝置類型資訊到前述網站。不過,使用者有可能不會注意到這個連結,因此仍會持續收到廣告。
趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。
經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。
關閉付費彈出視窗,他下載影音等應用程式你買單
現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。
要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知
通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。
趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。