趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。
雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。
GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。
Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。
行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。
趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000 個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。
圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 繼續閱讀
如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。
近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。
諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。
惡意行為
以下是該應用程式當中用來攔截使用者簡訊的程式碼。
圖 1:攔截簡訊的程式碼。 繼續閱讀
百度自製Moplus SDK被發現有後門漏洞-蟲洞(Wormhole),影響14,000款APP,以及上億台Android裝置!只要Android裝置連上網路,駭客就有機會在你不知不覺的情況下,透過漏洞傳送釣魚網站,假訊息,下載惡意檔案、應用程式或APP到你的終端裝置(手機或平板),傷害裝置或竊取資訊。
受影響的百度開發APP,其中不乏受歡迎的APP,如愛奇藝、PPS等。趨勢科技持續進行研究,本來認定漏洞僅限在百度所開發的APP,最新發現有些「非百度」APP也受到波及,如汽车之家 (com.cubic.autohome),凤凰视频 (com.ifeng.newvideo)…等等。
目前約有4,000多個百度開發APP,常被預載在小米、華為、InFocus等手機或平板中。
趨勢科技最近探討了 Moplus SDK 的後門行為以及相關的 Wormhole 漏洞,,影響14,000款APP,以及上億台Android裝置!由於 Moplus SDK 是由百度所開發,而且並非公開供人下載,因此我們一開始認為這問題應該只侷限於百度所開發的應用程式而已。沒想到,趨勢科技最新的研究發現,一些非百度開發的熱門應用程式也同樣遭殃。
根據趨勢科技的掃瞄發現,超過 14,000 個各類行動裝置應用程式的樣本都有此問題,包括同一個程式的多個不同樣本 (以安裝套件名稱為準) 都有問題。目前總共有 684 個不同應用程式的樣本含有此問題,包括一些熱門應用程式在內,例如:百度地圖和手機百度 (Baidu Searchbox)。下表顯示網路上問題樣本最多的前 20 個行動裝置應用程式:
| 安裝套件名稱 | 最高版本 | 蒐集到的樣本數 |
| com.qiyi.video | 6.1.2 | 1576 |
| com.baidu.video | 7.9.1 | 1398 |
| com.baidu.BaiduMap | 8.7.0 | 1307 |
| com.baidu.browser.apps | 6.2.16.0 | 1140 |
| com.baidu.appsearch | 6.6.2Beta | 1100 |
| com.nd.android.pandahome2 | 8.2.2 | 777 |
| com.hiapk.marketpho | 6.6.1.81 | 715 |
| com.android.comicsisland.activity | 3.3.10 | 690 |
| com.baidu.hao123 | 6.1.1.0 | 642 |
| com.baidu.searchbox | 6.0.1 | 458 |
| tv.pps.mobile | 4.0.0 | 452 |
| com.mfw.roadbook | 5.8.6 | 417 |
| com.tuniu.app.ui | 6.0.7 | 407 |
| com.ifeng.newvideo | 6.9.6 | 392 |
| com.baidu.netdisk | 7.9.0 | 381 |
| com.quanleimu.activity | 6.1.1 | 329 |
| com.dragon.android.pandaspace | 6.6.1.91 | 322 |
| com.yuedong.sport | 3.1.1.4.159 | 318 |
| com.dongqiudi.news | 3.4.6 | 301 |
| air.fyzb3 | 5.7.3 | 286 |
表 1:問題樣本最多的應用程式。
在 Google Play 上,百度絕大多數的程式都已無此問題。但仍有一個應用程式還含有惡意程式碼,那就是:百度音樂。根據百度提供的資訊,該公司已不再維護該程式,因此該程式下星期將從 Google Play 下架。趨勢科技還發現另一個非官方應用程式 (央视影音) 也還含有此問題。
Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話,那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起,而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris,我們已將問題通報給 Google Play 的資安團隊,目前正在等候回音。
RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計,它大約感染了 500 至 1,000 台 Android 裝置,絕大多數位於中國。
它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料,以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些):
這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件,視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。
| Rootkit | CVE 漏洞編號 |
| FramaRoot | CVE-2013-6282 |
| TowelRoot | CVE-2014-3153 |
| GiefRoot | CVE-2014-7911 和 CVE-2014-4322 |
| PingPongRoot | CVE-2015-3636 |
表 1:RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞
經過進一步的分析,我們找到了一個與 RetroTetris 相關的網站 (shuame.com),裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像,因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。
Brain Test
Brain Test 假冒成一個腦力測試的遊戲,包括讓您的「左腦」和「右腦」互相比較,您必須在一分鐘內解出問題。聽起來是不是很有挑戰性?這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱:com.mile.brain) 時的誘餌,隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架,但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱:com.zmhitlte.brain),這次使用的是百度包裝程式。此程式又被 Google 逮到,並於六天之後,也就是 9 月 16 日將它下架。不過,作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成:com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置,就會再下載並安裝其他惡意應用程式,並且會將裝置解鎖 (root),讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信,即使這個惡意程式已經從 Google Play 下架,但應該還是有些存在於受害者的裝置中。
Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外,我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站,以下列舉幾個範例:
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms
解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎,不論 Google Play 商店和非官方應用程式商店都一樣。此外,您也可以安裝一套行動裝置防護軟體,如趨勢科技行動安全防護 (TMMS) ,就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼:
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式:
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A
原文出處:Two Games Released in Google Play Can Root Android Devices作者: Wish Wu 和 Ecular Xu
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
