app - 資安趨勢部落格

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

2018 年 01 月 04 日2018 年 09 月 25 日趨勢科技 TrendMicro

熱門的糖果遊戲為何需要存取你的通訊錄?

你知道有些應用程式可以用麥克風收音卻沒讓你知道嗎?

能夠控制相機的應用程式在使用相機時必須很明顯（像是在螢幕上顯示鏡頭看到什麼），不過在技術上並不總是如此。

它們的目的是什麼?

App的自動提醒功能超方便，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機安裝導航應用程式很實用，可以在你出門時告訴你需要在30分鐘內開車到行事曆中位於市區另一邊22分鐘車程的地方。為了做到這點，應用程式必須存取你的GPS位置和你的行事曆，可能還要隨時都監控著這些資訊。你或許並不想要分享這些。但這實用的自動提醒，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機應用程式融入我們的日常生活，有件事情是你該去思考衡量的：“隱私VS方便”。

Android作業系統有提供選項來處理這類情況，讓使用者自行設定應用程式所擁有的權限。打開Android設定，然後找到類似“應用程式管理員”或搜尋“權限”（這會依你所用的Android版本而異）。

Google Pixel XL的設定選單，作業系統是Android Oreo。

你可以在這管理應用程式所能使用的服務，如：相機、地理位置、聯絡人等等。也有些相當重要的選項，像是在其他應用程式之上顯示內容或是鎖定和抹除設備上的所有內容。花些時間來好好設定，讓你能夠更加清楚應用程式在背後會做些什麼。繼續閱讀

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

2018 年 01 月 03 日2018 年 01 月 05 日趨勢科技 TrendMicro

Android的2017年12月安全更新修補了一個嚴重漏洞，這個漏洞會讓攻擊者在不影響簽章的情況下修改已安裝的應用程式。讓攻擊者能夠存取受影響的設備（間接地）。研究人員在去年 7月首次發現這個漏洞（被指定為CVE-2017-13156，也被稱為Janus漏洞），受到影響的Android版本包括5.1.1到8.0；約有74%的Android設備安裝這些版本。

趨勢科技發現至少有一個應用程式使用了這技術。這特定應用程式利用此漏洞讓自己更難被行動安全軟體偵測。之後也可能用來侵害其他應用程式並存取使用者資料。

漏洞分析

Android應用程式的安裝套件（.APK檔案）其實是.ZIP壓縮檔。.ZIP檔案格式有幾個特點讓這種攻擊發生。看看底下的基本.ZIP檔案結構：

圖1、.ZIP檔案結構

檔案結構由三部分組成：檔案實體（File Entry）、核心目錄（Central Directory）和核心目錄結束（EOCD）。核心目錄包含壓縮檔內每個檔案的資料；應用程式使用此目錄來找出記憶體位置以存取所需的檔案。

不過每個檔案實體並不需要相鄰。甚至可以將任意資料放入.ZIP檔案的這部分，如下所示：

圖2、ZIP檔案結構（紅色為任意資料）

攻擊者可以在APK檔案開頭放進一個惡意DEX檔案（如下所示）。有漏洞的Android版本仍會將其識別為有效的APK檔案並且執行。繼續閱讀

行動惡意程式非重複樣本不斷增加

2017 年 12 月 03 日2017 年 12 月 21 日趨勢科技 TrendMicro

對很多消費者和企業而言，行動裝置已是他們存取資訊和與人通訊不可或缺的隨身工具。事實上，在許多國家，行動裝置已成為人們的主要上網工具。

然而，當越來越多人開始使用智慧型手機、平板、筆記型電腦來執行一些重要的企業及個人活動，這些裝置也開始吸引駭客的目光。駭客正逐漸將攻擊目標從桌上型電腦移轉到行動裝置，也因此，行動平台的威脅正在逐漸崛起。

行動惡意程式非重複樣本不斷增加

趨勢科技「2017 上半年資安總評」報告引述趨勢科技「行動裝置應用程式信譽評等服務 (MARS)」所蒐集的資料指出，今年有越來越多非重複的行動勒索病毒樣本出現，數量以 2017 年 3 月最高，MARS 共偵測到 56,000 個行動勒索病毒樣本。

「勒索病毒數量以 2017 年 3 月最高，MARS 共偵測到 56,000 個行動勒索病毒樣本。」

勒索病毒 Ransomware (勒索軟體/綁架病毒)從桌上型電腦轉戰行動裝置，這只不過是網路犯罪集團自然而然的發展。在桌上型電腦上，這類結合強大加密與勒索訊息的攻擊手法，不僅讓受害者聞之喪膽，也讓歹徒賺進大把鈔票。

今日，行動勒索病毒越來越普遍，例如前一陣子出現的 SLocker 樣本。趨勢科技行動威脅應變團隊在七月份通報了 SLocker 勒索病毒，並指出這個新的變種可說是追隨著惡名昭彰的WannaCry(想哭)勒索蠕蟲勒索病毒的腳步。

趨勢科技行動威脅應變團隊指出，SLocker 家族基本上是最古老的手機勒索病毒之一，會鎖定裝置畫面並加密檔案，而且還會假冒執法機關的名義恐嚇受害者，讓受害者乖乖付錢。該病毒在沉寂了多年之後，突然在今年五月重出江湖。這次的 SLocker 變種是一個針對 Android 平台的檔案加密勒索病毒，同時也是第一個趁著 WannaCry 病毒餘波蕩漾而推出的勒索病毒。

繼桌上型電腦之後，當行動裝置出現的勒索病毒越來越多，使用者即有必要採取適當的防護，尤其是在企業環境當中使用行動裝置的員工。

行動裝置也開始像 PC 一樣容易遭到勒索病毒攻擊。

第三方應用程式商店依然是危險的來源

行動裝置使用者必須小心的威脅還不僅勒索病毒而已。以往駭客經常利用第三方應用程式商店較為寬鬆的安全檢查來散布手機惡意程式，這樣的風險至今依然不變。繼續閱讀

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

2017 年 06 月 20 日2017 年 06 月 20 日趨勢科技 TrendMicro

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM)，會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下，個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式，在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式，例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制，試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊，然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶，來自東南亞，例如越南、菲律賓和印尼，台灣下載量為 5.36%。

如何防範 Xavier?

避免下載與安裝來源不明的應用程式，即使這些應用程式是來自 Google Play 等合法應用程式市集
閱讀已下載該應用程式之其他使用者的評論。
更新或修補行動裝置，有助於阻擋鎖定漏洞的惡意程式。
一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
企業也可以採取趨勢科技 Android 版行動安全防護

大多數下載遭Xavier感染 App的用戶，來自東南亞，例如越南、菲律賓和印尼，台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK，但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先，這款木馬程式內嵌惡意行為，會下載遠端伺服器的程式碼，然後載入並執行。接著，它會透過字串加密、網際網路資料加密以及模擬器偵測等方法，試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制，可以規避靜態與動態的分析，因此很難偵測出它的竊取和洩漏能力。此外，Xavier 也會下載和執行其他惡意程式碼，並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。繼續閱讀

Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

2017 年 04 月 25 日2017 年 04 月 25 日趨勢科技 TrendMicro

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」，會跳出貌似 Google Play 的輸入對話框，要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡，它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝，「Fobus」就會從收集各種敏感資訊，像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制（C&C）伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料