趨勢科技最近在Google Play上發現了49個新廣告軟體會偽裝成遊戲和照相應用程式。這些應用程式都是典型的廣告軟體,會隱藏在行動裝置裡顯示廣告,同時還使用了反移除和躲避功能。這些應用程式下載總數已經超過了 300 萬次。
廣告軟體還會建立假 Chrome圖示,受害人點擊後,就會顯示難以關閉的全螢幕廣告。
這起事件延續了行動廣告軟體激增的趨勢–光是在去年八月我們就發現了85個夾帶廣告軟體的假照相和遊戲應用程式,它們也都採用了獨特的技術來躲避偵測。對手機公司來說,這些廣告軟體是個長期存在的問題。Google必須一次又一次地加以移除 – 在八月那批廣告軟體前,七月也出現過100多個夾帶廣告軟體的應用程式,同時廣告軟體也在一月影響了超過900萬名的使用者。多年以來,我們一直都在密切關注行動廣告軟體的詐騙行為,並且發現這些類型的應用程式在2018年也相當氾濫。仍然不斷地有新版本在上傳,我們將會繼續地監控它們的進展。
圖1. Google Play上夾帶廣告軟體的應用程式
越來多利用修圖或美肌應用程式被作為誘餌,誘使不知情的使用者下載欺詐性內容或惡意應用程式。一款名為「Yellow Camera」的應用程式,偽裝成照相及美肌或修圖應用程式,雖然它有提供宣稱的功能,但同時也會讀取簡訊驗證碼,接著啟用 WAP( Wireless Application Protocol )計費功能。趨勢科技也發現該應用程式的中文版本。
趨勢科技行動安全防護能夠封鎖惡意應用程式 ,按這裡免費下載試用
Google在今年初更新了Android應用程式的權限要求規定,特別是在存取簡訊和通話紀錄的限制上。Google還將非預設(或非提供重要核心功能)的應用程式加入此要求,讓它們可以提示並要求使用者提供權限來存取裝置資料。
此限制是為了防止山寨版或惡意應用程式利用這些功能來散播惡意軟體,竊取可識別個人身份的資訊或是進行詐騙。但正如去年的行動威脅環境所顯示,詐騙份子和網路犯罪份子一直努力地在想各種方法賺錢,無論是調整策略、尋找方法繞過限制或是跟最近我們所看到的案例一樣 – 使用老舊但仍然有效的技術。
[延伸閱讀:]
想要拍出好氣色,當心29款美肌相機應用程式會發送色情內容,還會偷個資盜用照片
每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次
趨勢科技最近在 Google Play上看到一款名為「Yellow Camera」的應用程式(趨勢科技偵測為AndroidOS_SMSNotfy),它會偽裝成照相及美肌或修圖應用程式(這類伎倆越來越常見,我們在今年發現許多類似的應用程式,它們還會竊取資料或帶有惡意軟體或廣告軟體)。雖然它有提供宣稱的功能,但同時也會從系統通知讀取簡訊驗證碼,接著啟用WAP( Wireless Application Protocol )計費功能。
繼續閱讀
其實我們目前在日常生活中,一直帶在身上的「手機」都在默默追蹤我們的位置你知道嗎?
繼續閱讀無論是 Apple 或者是 Google 兩者的服務都會要求提供定位資訊,當然我們並不建議隨便調整定位資訊啦!要不然下次想要使用某個功能的時候就會發現突然不能使用了!
但大家依然要知道如何讓定位提供最少的資訊喔!這樣不但安全還省電呢!接下來讓好麻吉帶大家來看看吧!
趨勢科技偵測到有 85款拍照與遊戲相關的 APP,在 Google Play的下載量已經超過了 800 萬次, 除了顯示難以關閉的全螢幕廣告以外,它還採用獨特的技術,躲避檢測 。 趨勢科技行動安全防護,多層式防護能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障使用者的安全。
無所不在的行動裝置,現在已成為使用者線上交易、日常生活,甚至是工作職場上不可或缺的工具,這也無怪乎它會成為駭客與網路犯罪集團賺錢的工具。比方說,網路犯罪集團會散播廣告程式來感染行動裝置,讓這些看似無害的程式替他們賺錢。雖然廣告程式大多只是讓人覺得很煩,但去年,行動廣告詐騙及廣告程式相關資安事件卻四處猖獗,許多企業都蒙受了巨大的財物損失。
最近,我們在 Google Play 商店上發現了一個可能影響使用者日常生活的廣告程式,趨勢科技將它命名為:AndroidOS_Hidenad.HRXH。它有別於一般常見的廣告程式家族,除了會彈出一些不易關閉的廣告之外,還會運用獨特的技巧來避開使用者的注意以躲避偵測。
這批暗藏廣告的手機應用程式總共假冒成 85 種拍照與遊戲程式在 Google Play 商店上架,全球共累積了超過 800 萬次下載。我們已將研究發現通報給 Google。
圖 1:暗藏廣告的應用程式。
》 看完整清單
這批應用程式啟動之後,會先記住兩個時間:當前系統時間 (也就是安裝時間「installTime」) 以及網路時間 (透過某公開合法的 RESTful API 取得的時間,也就是網路安裝時間「networkInstallTime」)。
圖 2:廣告程式透過 RESTful API 記錄當前時間 (上) 與網路時間 (下) 的程式碼。
接下來,它會註冊一個廣播事件接收器 (Android 系統上一種讓應用程式收發系統與應用程式事件的元件) 來動態接收android.intent.action.USER_PRESENT 事件。藉此監控使用者是否正在使用被感染的裝置。
每次當使用者解鎖裝置時,廣告程式都會先執行幾項檢查之後再開始工作。首先,它會比對當前時間 (裝置系統時間) 與之前儲存的安裝時間。接著再比對當前的網路時間 (透過 RESTful API 取得) 與之前記錄的網路安裝時間。比對過後,廣告程式就知道自己安裝到裝置的時間是否已超過某個預定的時間 (預設為 30 分鐘)。比對網路時間,在某種程度上可避開傳統沙盒模擬分析經常採用的時間操控偵測技巧或觸發機制,因為應用程式可使用網路安裝時間來設定應用程式的時間。
當廣告程式發現自己安裝到裝置上的時間已超過 30 分鐘,就會隱藏自己的程式圖示,然後在裝置首頁畫面上建立一個捷徑。這樣的行為不太會被使用者察覺,除非使用者啟用了某項系統功能在系統建立捷徑之前先告知使用者。此功能可以避免應用程式圖示在主畫面上拖放到解除安裝區域時被解除安裝。廣告程式為了躲避偵測,特別運用了 Java 的 Reflection 機制 (一種可在應用程式執行時期檢查或修改其行為的方法),並且將 API 字串用 base64 方式編碼。
圖 5:在裝置首頁畫面建立的捷徑。
圖 6:利用 Java 的 Reflection 機制隱藏應用程式圖示的程式碼。
該廣告程式還會註冊另一個廣播事件接收器來動態接收 android.intent.action.USER_PRESENT 事件,以便知道使用者是否解鎖了裝置。如果是,就在畫面上顯示廣告。不過,它在顯示廣告之前也會先執行前面在隱藏程式圖示時所做的時間檢查。同樣也是利用安裝時間和網路安裝時間來確認它在裝置上已安裝了多久。除此之外,還會檢查上次顯示的是哪個廣告,以免太常顯示同樣的廣告。
雖然,這批程式確實具備其假冒的應用程式功能,但所有廣告卻是以全螢幕的方式顯示。因此,使用者被迫必須等到廣告顯示時間結束之後,才能將廣告關閉或回到應用程式畫面。不但如此,歹徒還能從遠端設定廣告顯示的頻率 (預設為 5 分鐘一次),因此也不排除使用者被廣告疲勞轟炸的可能性。
圖 7:註冊廣播事件接收器來顯示廣告的程式碼 (上),以及先檢查時間再顯示廣告的程式碼 (中、下)。
圖 8:畫面顯示全螢幕廣告。
圖 9:暗藏廣告的程式在應用程式商店內的評價。
解決廣告程式問題的方法有幾種,例如最新的 Samsung Android 裝置就內建一項功能可防止應用程式在裝置首頁建立捷徑,這樣就能讓使用者更容易將不肖程式移除。此外,Android 8.0 及更新的作業系統,也會在應用程式要建立捷徑之前先要求使用者確認同意。由於廣告程式在首頁畫面建立捷徑之前,會先隱藏自己的圖示,如果建立捷徑失敗,使用者就更容易注意到這類應用程式的異常行為。除了養成良好習慣來保護行動裝置安全之外,使用者若能在安裝應用程式之前先檢查一下應用程式在商店內的評價,也會有所幫助,畢竟很可能會有人提到應用程式的一些可疑行為。
除此之外,採用一套可攔截廣告程式的資安產品也是不錯的選擇,如 :趨勢科技行動安全防護。其多層式防護能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障使用者的安全。
針對企業機構,趨勢科技 Mobile Security for Enterprise 企業版行動安全防護提供了裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,還可偵測並攔截惡意程式和詐騙網站。趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可以利用先進的沙盒模擬分析與機器學習(Machine learning,ML)技術來防範 Android 及 iOS 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。
完整的入侵指標 (IoC) 清單(包含所有假 APP 列表)請參閱這份附錄。
PC-cillin 同時保護更多行動裝置或電腦,即刻免費下載試用
