最近出現了一種新型的行動惡意程式名叫 Agent Smith (趨勢科技命名為 AndroidOS_InfectionAds.HRXA),它專門利用作業系統的漏洞來感染 Android 裝置,暗中將已安裝的應用程式替換成惡意版本。根據研究人員指出,此惡意程式會在受害手機上顯示詐騙廣告,但它其實還可能發動其他更危險的攻擊,如:竊取銀行資訊或監控使用者。
研究人員在 2019 年 4 月之前就發現 Janus 漏洞 (CVE-2017-13156) 遭到攻擊的情況越來越嚴重。此外,還發現 Google Play 商店上的一些熱門工具軟體、遊戲、美肌軟體以及成人內容應用程式會暗中植入 Agent Smith 惡意程式,隨後該程式還會不斷執行假冒 Google 官方修補程式的更新。此惡意程式的 APK 檔案會擷取已安裝應用程式清單,再對照幕後操縱 (C&C) 伺服器傳來的攻擊目標清單,然後假藉安裝更新的名義,將應用程式的基礎 APK 抽換成惡意廣告模組與 APK。
繼續閱讀已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」,刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證,並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如 跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。
這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」,顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑,該遊戲在安裝之初的兩天內都不會出現任何惡意行為。
此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務,並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻,在「sign in」(登入) 的字樣當中出現拼字錯誤。
若使用者不小心輸入了自己的登入憑證,惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像,例如「com.googles.android.gms」,這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外,惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」,此套件似乎與 Google 的套件功能一樣。
繼續閱讀
趨勢科技發現了一波針對中東國家的網路間諜活動。我們根據“golf”套件內的惡意程式碼將此波活動命名為“Bouncing Golf”。趨勢科技將其偵測為AndroidOS_GolfSpy.HRX,擁有多樣的網路間諜功能。駭客會重新封裝合法應用程式並嵌入惡意程式碼。我們監控 Bouncing Golf 所用的命令和控制(C&C)伺服器並且看到超過 660台感染 GolfSpy 的Android裝置。大部分的被竊資料似乎都和軍事有關。
這些重新封裝的惡意應用程式並沒放在Google Play或熱門的第三方應用程式市場,我們在追查GolfSpy時,發現這些放惡意應用程式的網址只會透過社群媒體散播。我們也從趨勢科技行動應用程式信譽評比服務取得部分 GolfSpy樣本進行分析。
另外值得注意的是,Bouncing Golf或許跟之前報導過的行動網路間諜活動(Domestic Kitten)有關。例如有相似的程式碼字串結構。竊取資料也用相似的格式。
繼續閱讀XLoader變種會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。
新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。
惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變,其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD),是之前對此惡意軟體家族進行研究後的最新版本。
此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播,但我們已經看到許多使用者收到了簡訊。
圖1. 託管XLoader的假網站截圖
在之前,XLoader能夠在電腦上挖掘虛擬貨幣,並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。
繼續閱讀集銀行木馬 、 勒索病毒 、 鍵盤側錄器於一身的 Anubis 安卓手機病毒, 日前被發現偽裝成「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具應用程式,藉以散播 。
Anubis本身內建的鍵盤側錄功能,能記錄使用者輸入的按鍵,也可直接截取使用者的裝置畫面,以便獲得帳號登入憑證。
根據趨勢科技的資料顯示,最新版的 Anubis 已散布至全球 93 個國家,可竊取 377 種銀行應用程式使用者的帳戶資料。除此之外,Anubis 一旦成功執行,還有可能取得裝置上的通訊錄及定位資訊,也有能力錄音、發送簡訊、撥打電話並且寫入外接儲存。Anubis 可利用這些權限來發送垃圾訊息給通訊錄上的聯絡人 。
最近趨勢科技在 Google Play 商店上發現兩個會散布銀行惡意程式的應用程式,這兩個應用程式分別偽裝成名為「Currency Converter」(匯率轉換) 和「BatterySaverMobi」(電池節能) 的工具程式。
第一個電池節能工具已累積了 5,000 次以上的下載,並獲得 4.5 星的評價 (共 73 筆評論)。但若仔細觀察一下評論的內容就會發現這些評論有些可能是捏造的,因為其中參雜了一些匿名用戶的評論,並且有些評論邏輯不通且缺乏實質內容。
根據趨勢科技對這波攻擊的研究,這些應用程式會在系統上植入一個我們合理推論應該是「Anubis 銀行惡意程式」的檔案 (趨勢科技命名為 ANDROIDOS_ANUBISDROPPER )。該檔經過仔細分析之後,證明其程式碼與已知的 Anubis 樣本極為類似。此外,我們也發現它會連上位於「aserogeege.space」網域的幕後操縱 (C&C) 伺服器,該網域也與 Anubis 有所關聯。
這個「aserogeege.space」網域以及其他 18 個惡意網域皆對應至「47.254.26.2」這個 IP 位址,而我們也確認 Anubis 使用了這些網域底下的子網域。這些網域會經常變換其對應的 IP 位址,從 2018 年至今大約已更換過六次,顯示歹徒的攻擊行動相當活躍。
圖 1:Google Play 商店上的惡意應用程式。
表 1:BatterySaveMobi 所有樣本肆虐地區分布。
上述不肖應用程式不僅使用了傳統的躲避技巧,還利用使用者裝置的動作感應功能來躲避偵測。
繼續閱讀