短短一個月內,Android上的惡意軟體數量就翻了一倍,從一萬變到兩萬。快速成長的Android威脅已經是個值得關注的焦點了。
趨勢科技曾經預測Android惡意軟體將會在今年此時來到一萬一千個,當時這個看來不可思議的數字也輕易的惹來嘲笑。但事實證明,當年這看來過高的預測,離我們現在所實際看到的兩萬五千個Android惡意軟體數量都還有一段距離。
趨勢科技也曾經報導過網路犯罪份子用來誘騙使用者下載惡意行動軟體的各種手段。官方Android軟體商店 – Google Play變成有毒應用程式的平台。假Skype、Instagram、憤怒鳥上太空、Farm Frenzy和其他假知名應用程式被用來發送簡訊到加值服務,讓使用者產生多餘的費用。使用者好奇的天性也讓間諜應用程式(像是Spy Tool和Spy Phone Pro+)利用來賺錢。設計複雜的BotPanda會隱藏自己的行為,打開被破解過的裝置加以遠端存取。
我們列出本季Android裝置上的七種惡意軟體類型。幾乎有一半的數量是加值服務濫用軟體,會替使用者訂閱他們並不想要的服務。廣告軟體,最近變多了,因為它們會不停地派送偽裝成緊急通知的廣告,排名第二。資料竊取軟體、惡意下載軟體、惡意破解軟體(rooter)、點擊詐騙軟體還有間諜工具跟在其後。這些行動軟體會帶來個人和金融資料被竊的危險。
Android惡意軟體隨著Android市佔率的上升而一起成長。然而,趨勢科技發現只有五分之一的Android裝置有裝安全軟體。使用者必須要了解攻擊者如何利用應用程式來竊取資料,才能避免落入他們的陷阱之中。Google他們也會利用一些功能來維護Android環境的安全,像是Bouncer服務或自動掃描、沙箱技術、權限系統和遠端惡意軟體移除。
自2011年底,Android惡意軟體的數量就開始呈現爆炸性的成長。為了讓惡意應用程式消失於官方的Android應用程式商店(現在稱為Google Play),Google在今年二月推出了一個代號為Bouncer的安全服務。
Bouncer會默默地利用它的信譽評比引擎和雲端架構來自動掃描Google Play內的應用程式(包括新上傳和之前的)和開發者帳號。根據Google表示,Bouncer可以讓應用程式商店內的惡意應用程式數量下降40%。
研究人員發現,Bouncer可以被識別特徵
最近有兩名安全研究人員報告說,Bouncer可以被識別特徵。為了證明這點,他們提交了包含shell code的Android應用程式,讓他們可以在提交的應用程式被分析後,好好觀察Bouncer。這程式碼還會連回研究人員的電腦(phone home)。研究人員已經知道了Bouncer運行環境的部分細節。關於Google Bouncer的部分有趣發現如:
Android – 更潮就更危險!六個Android 主要威脅與安全守則
你也許不知道你下載的 APP可能做以下的行為:
單月惡意 APP 翻 2 倍:從 10,000 增到 20,0000
Google Android 正快速成為 90 年代的 Windows:在使用者之間非常流行,在網路駭客之間也不遑多讓。最新的統計數據顯示,Android 所占的智慧型手機市場已超過 60%,遠超過 Apple 的 iOS,而其平板電腦亦表現不差,這要歸功於各大廠商 (Samsung、HTC、Acer 等等) 對該平台的投入。
不幸的是,趨勢科技 TrendLabs 的研究人員每天都會發現一些新的惡意程式變種,專門鎖定毫無戒心的使用者,從事竊盜、監聽或盜轉銀行帳戶存款等等。
傳統的一些感染方式當然也可能出現在 Android 裝置上,例如:點選了電子郵件和社交網站上的惡意連結、開啟惡意的附件檔案,或者瀏覽了已遭感染的網站等等,但是,歹徒目前最專注的是惡意 App 程式。光是在最近的一個月中,趨勢科技就發現惡意 App 程式數量增加到 2 倍:從 10,000 增到 20,0000。 繼續閱讀
趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。
經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。
關閉付費彈出視窗,他下載影音等應用程式你買單
現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。
要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知
通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。
趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。
