Google Play - 資安趨勢部落格

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

< App /應用程式 > 廣告和廣告軟體間的模糊地帶：檢視廣告軟體 MDash SDK

2015 年 05 月 08 日2015 年 04 月 30 日趨勢科技 TrendMicro

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ，因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料，這些應用程式在發現時已經被下載到數百萬台的設備上。然而，這些並非唯一擁有類似行為的應用程式。在三月初的調查時，趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過，這個數字已經減少到數百或以下。

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX，是整合到那些應用程式的SDK（軟體開發套件）。雖然它有時也被稱為「MobiDash」，不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是，我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表，這跟知名廣告軟體商有著鮮明的對比，後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表，那它是如何到達應用程式開發者手上？很有可能是因為它是發表在地下論壇。

檢視MDash程式碼

為了分析MDash，我們選擇一個應用程式，套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式，已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現，廣告軟體SDK MDash被精心開發和良好地維護著。

圖1、有MDash SDK的應用程式範例

圖2、MDash SDK原始碼結構

繼續閱讀

假 Android漏洞「掃描程式」暗藏玄機

2015 年 05 月 04 日2015 年 05 月 04 日趨勢科技 TrendMicro

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了，出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性，我們決定尋找會利用此一漏洞的威脅。

有一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後，趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」，有的甚至冒用真正掃描程式的名稱。

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

圖1、第一個網站透過兩個選項來「提供」掃描程式

如果有人點入該網站的其他部分會發生什麼事？會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外，會自動下載一個檔案到行動設備上。在我們的研究過程中，可以下載三個檔案：

apk – 偵測為ANDROIDOS_SMSPAY.FCA，這是一種加值服務簡訊濫用程式
vShareMarket_1.5.9_yeahmobi.apk – 偵測為A，這是個廣告軟體
63_1631_03201923.apk – 這是個正常的應用程式

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後，使用者會遇到一個彈跳視窗，就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題，也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是，並不會下載檔案到行動設備上。

圖2、第二個網站（左）和持續跳出的視窗（右）

繼續閱讀

4.7 分評價,下載達萬次的熱門app ,為何被 Google Play 下架?

2014 年 08 月 22 日2014 年 08 月 22 日趨勢科技 TrendMicro

隨著行動裝置使用者數量不斷成長，針對使用者而開發的 App 程式亦然。然而，網路犯罪者總是追著錢跑，因此專門鎖定行動裝置和行動使用者的攻擊數量也將不斷增加。這正是為何行動裝置威脅越來越多，包括惡意程式和假 App 程式。事實上，在正牌的行動 App 程式或 PC 程式推出之後，通常很快就能發現冒牌的 App 程式。

本文深入探討今日的假 App 程式，特別是重新包裝的 App 程式 ─ 這些遭到篡改 (如插入或刪除程式碼) 的 .APK 檔案，通常含有未來可從事惡意用途的功能。1 冒牌的 App 程式通常使用與對應正牌程式非常相似的使用者介面 (UI)、程式圖示和名稱。這些程式通常出現在第三方應用程式來源，例如網路論壇和網站，有些甚至也出現在 Google Play™ 官方網站。這些程式會在被檢舉為惡意程式或侵權軟體之前盡可能供更多人下載。為了散布，網路犯罪者通常會利用各種社交工程（social engineering ）技巧來誘騙使用者下載假 App 程式。

假 App 程式,冒充正牌程式,50% 都有惡意行為

根據一項針對 Google Play 商店前 50 大熱門免費 App 程式的調查顯示，幾乎 80% 的程式都有對應的假冒版本 (參見圖 1)。這些 App 程式在 Google Play 上涵蓋了相當廣泛的類別，包括：商業、媒體與影片、遊戲等等。

圖 1：在 Google Play 上擁有和沒有對應假冒版本的 App 程式。

個別 Google Play 類別前十大熱門程式有假冒版本的比例如下 (參見圖 2)：

圖 2：個別 Google Play 類別熱門 App 程式分析。

假 App 程式通常不單只是模仿正牌的 App 程式而已，更可能是高風險程式或惡意程式。

截至今年四月為止，在我們從各種來源發現的 890,482 個假 App 程式樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式。在所有假 App 程式當中，有 50% 以上懷有惡意 (參見圖 3)。

圖 3：所有假 App 程式當中惡意與非惡意的比例。

假冒 Bitdefender的假防毒軟體:

假裝掃瞄宣稱裝置受到感染，藉此誘騙使用者購買完整付費版本

假防毒軟體可說是行動裝置威脅當中最常見的假 App 程式，例如 2012 年早期出現、專門攻擊 Android 裝置的 FAKEAV。緊接著 2013 年又爆發了另一波行動裝置的 FAKEAV 惡意程式，例如假冒 Bitdefender® 的 ANDROIDOS_FAKEAV.F 變種 (參見圖 4)。3 這個假App 程式假冒 Bitdefender 的名義，要求使用者在安裝時使用系統管理員權限來安裝，如此一來就更難移除。如同電腦上的假防毒軟體一樣，該程式會假裝掃瞄裝置，然後宣稱裝置受到感染，藉此誘騙使用者購買其完整付費版本。
圖 4：ANDROIDOS_FAKEAV.F 運作畫面。

獲得 4.7 分評價的假防毒軟體「Virus Shield」，累計下載次數高達 10,000 次，原來是殭屍電腦下載的

較近期的假防毒軟體案例是前一陣子的「Virus Shield」，該程式還獲得 4.7 分的評價，而且累計下載次數高達 10,000 次，其中大部分都是殭屍電腦所為。此程式早已被 Google 下架。

不過，仍有數千人受其專業的外表以及宣稱的功能所騙，例如：防止裝置安裝惡意
App 程式、可即時掃瞄 App 程式、設定、檔案及多媒體內容、保護個人資訊安全等等。它甚至還登上 Google Play 熱門付費程式排行榜，售價 $3.99 美元 (參見圖 5 和圖 6)。但在經過深入研究之後，其宣稱的所有功能都是假的，因此是個不折不扣的假防毒軟體。

圖 5：Virus Shield 在 Google Play 上的購買畫面。
圖 6：Virus Shield 在下架之前確實曾經登上 Google Play 熱門付費程式排行榜。繼續閱讀

Google Play上前 50 的免費應用程式,近 80％應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014 年 08 月 14 日2015 年 12 月 03 日趨勢科技 TrendMicro

【2014年8月14日台北訊】隨著行動裝置使用者數量不斷成長，山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示，高達80% 應用程式皆有對應的假冒版本，其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%！趨勢科技建議，為避免行動裝置威脅，使用者請務必從信任的來源下載程式，並安裝有信譽的行動防護程式如趨勢科技『安全達人』免費App，以保障自身的行動裝置安全。

趨勢科技研究發現，截至2014年四月，在890,482 個山寨App樣本中，有 59,185 個是越權廣告程式，另有 394,263 個為惡意程式；而在所有山寨App 中，有 50% 以上懷有惡意。目前山寨版App可分為兩大類型，其一為「假 App 」，其中又以假防毒App為最大宗。以「Virus Shield」為例，號稱可即時掃描、保護個資，售價3.99美元，曾在Google Play獲得 4.7 分的評價，上線一周即吸引超過一萬次下載量，但該App遭踢爆不具備任何防護功能，經查證下載量多為殭屍電腦操縱成果，縱使被 Google 下架，卻仍造成數千人受騙並造成金錢損失。

圖 1：Virus Shield 在 Google Play 上的購買畫面。

山寨App另一類型則為「重新包裝的 App 」，仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法，將 App 程式重新包裝從事惡意用途，已逐漸成為網路攻擊常態，其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例，累計下載次數突破5,000 萬次，該遊戲的突然下架引發網友大量討論，吸引網路犯罪者推出「Flappy Bird」木馬化版本；其中一個木馬化版本會要求使用者允許開發者發送簡訊，導致使用者電信通訊費用帳單因而突然飆高。

圖 2：木馬化 Flappy Bird 發送的高費率簡訊範例。

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除，並換上木馬化版本，竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊，造成使用者重大損失。

圖 3：南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM)，在 BlackBerry 將其程式上架至Google Play 之前，網路上竟然出現一些木馬化的 BBM 版本，利用 Android 版 BBM 即將上市的預期心理，讓其重新包裝的程式獲得 100,000 次下載；然而這些程式會出現越權廣告程式的行為，因此遭 Google Play 下架。

圖 4：假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示：「在山寨App中，有相當大的數量為內藏有惡意程式，不僅容易引發個資外洩，更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能，可協助阻擋用戶下載具有惡意威脅的應用程式，為用戶的手機資安做最全面把關！」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝（Repackaged）的應用程式是一種假應用程式，它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣，重新包裝應用程式利用社交工程伎倆，顯示出想偽造的正常/官方版本類似的使用者界面（UI）、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。