支付寶 Android 應用程式出現漏洞

支付寶是中國主流的第三方支付平台,來自中國最大的網路公司 – 阿里巴巴。趨勢科技最近發現他們的Android應用程式上有兩個漏洞可被攻擊者用來進行網路釣魚(Phishing)攻擊以竊取支付寶認證。

Alipay Android App

第一個漏洞:輸出活動

Android應用程式有幾個重要的部分,其中之一是活動(Activity)。這有一個重要的屬性,android:exported。如果此屬性設定為「true」時,安裝在同一設備上的每個應用程式都可以調用這個活動(Activity)。開發者應該要小心,讓自己輸出的活動(Activity)不被濫用。

趨勢科技發現支付寶的官方Android應用程式正有此種漏洞。這特定活動(Activity)可被用來增加一個支付寶護照(稱為Alipass)。使用一特別建立Alipass的攻擊者可以用此活動(Activity)來建立一個Alipass登錄顯示。這可以用來將使用者導到網路釣魚(Phishing)網頁或顯示QR碼。在該活動(Activity)啟動前,使用者會被要求輸入支付寶解鎖密碼,這讓使用者相信該登錄畫面確實來自支付寶。

圖1、活動(Activity)所提供的網路釣魚網址

 

第二個漏洞:惡意的權限

前面我們討論過如何透過權限搶佔來取得權限。在此攻擊中,惡意應用程式在目標應用程式前安裝,取得目標應用程式的客製化權限和能存取該權限所保護的組件。

支付寶應用程式定義了權限com.alipay.mobile.push.permission.PUSHSERVICE來保護組件com.alipay.mobile.push.integration.RecvMsgIntentService。支付寶應用程式利用該組件接收來自支付寶伺服器的郵件。一種訊息是通知使用者應用程式有更新可用。

當一個惡意應用程式被給予PUSHSERVICE權限,攻擊者可以輕易地假造此一訊息,並將其送到RecvMsgIntentService以推送更新通知給使用者。

圖2、攻擊漏洞的測試通知

 

圖3、要求安裝惡意程式的通知。 繼續閱讀

Google Play上前 50 的免費應用程式,近 80% 應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014814日台北訊】隨著行動裝置使用者數量不斷成長,山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示高達80% 應用程式皆有對應的假冒版本,其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%!趨勢科技建議,為避免行動裝置威脅,使用者請務必從信任的來源下載程式,並安裝有信譽的行動防護程式如趨勢科技安全達人』免費App,以保障自身的行動裝置安全。

Google Play上前 50 的免費應用程式,近 80% 是山寨版! 恐引發個資外洩、手機中毒及金錢損失

 趨勢科技研究發現,截至2014年四月,在890,482 個山寨App樣本中,有 59,185 個是越權廣告程式,另有 394,263 個為惡意程式;而在所有山寨App 中,有 50% 以上懷有惡意。目前山寨版App可分為兩大類型,其一為「假 App 」,其中又以假防毒App為最大宗。以「Virus Shield」為例,號稱可即時掃描、保護個資,售價3.99美元,曾在Google Play獲得 4.7 分的評價,上線一周即吸引超過一萬次下載量,但該App遭踢爆不具備任何防護功能,經查證下載量多為殭屍電腦操縱成果,縱使被 Google 下架, 卻仍造成數千人受騙並造成金錢損失。

 fake app1 Virus Shield 在 Google Play 上的購買畫面。

                                1Virus Shield Google Play 上的購買畫面。

 

山寨App另一類型則為「重新包裝的 App 」,仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法,將 App 程式重新包裝從事惡意用途,已逐漸成為網路攻擊常態,其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例,累計下載次數突破5,000 萬次,該遊戲的突然下架引發網友大量討論,吸引網路犯罪者推出「Flappy Bird」木馬化版本;其中一個木馬化版本會要求使用者允許開發者發送簡訊,導致使用者電信通訊費用帳單因而突然飆高。

 

fake app2 木馬化 Flappy Bird 發送的高費率簡訊範例。 2:木馬化 Flappy Bird 發送的高費率簡訊範例。

 

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除,並換上木馬化版本,竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊,造成使用者重大損失。

fake app3南韓某銀行 App 的木馬化版本畫面。 3:南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM),在 BlackBerry 將其程式上架至Google Play 之前,網路上竟然出現一些木馬化的 BBM 版本,利用 Android 版 BBM 即將上市的預期心理,讓其重新包裝的程式獲得 100,000 次下載;然而這些程式會出現越權廣告程式的行為,因 此遭 Google Play 下架。

fake app4假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。 4:假冒的 Android BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示:「在山寨App中,有相當大的數量為內藏有惡意程式,不僅容易引發個資外洩,更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能,可協助阻擋用戶下載具有惡意威脅的應用程式,為用戶的手機資安做最全面把關!」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝(Repackaged)的應用程式是一種假應用程式,它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣,重新包裝應用程式利用社交工程伎倆,顯示出想偽造的正常/官方版本類似的使用者界面(UI)、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。

fake app

根據研究,Google Play上前50的免費應用程式中有近80%有偽造的版本。這些應用程式包括了商業、多媒體和影片、遊戲等類別。此外,今日有超過一半的假應用程式被標示為「高風險」和「惡意」,因為它會對使用者造成危害。

圖一:在Google Play上有偽造版本和沒有偽造版本的免費應用程式

繼續閱讀

《資料圖表》個資竊取者如何設下陷阱引誘線上玩家?

 2011 年,網路犯罪者盜取了 7,000 萬名 Sony PlayStation 玩家的帳號。同年,2 億 2,500 萬美元的線上虛擬寶物失竊。這可是一筆鉅款,網路犯罪者是如何取得的?

當你在電玩主機線上遊戲當中時,分得出虛擬和真實的界線嗎?你是否曾經想過其他玩家可經由你分享的遊戲資訊看到您的哪些訊息?

實際狀況是:遊戲經常讓人分不清虛擬和現實。

就以 Xbox One Kinect 2.0 的功能為例,它可記錄你的聲音,長相和體型,而且由於它隨時都在開啟狀態,因此你知道它已儲存了你的資料。再看看 PlayStation 4,它會掃描你房間的樣貌,然後將你和你的房間帶入虛擬世界當中。

中文資料圖表INFOGRAPHIC-apt

點這裡看大圖

今日的遊戲與昔日的紙牌遊戲及桌上遊戲有很大不同。它們會要求你提供帳號及聯絡資訊,以便連結至你最愛的音樂、播放你訂閱的影片、瀏覽網站、甚至幫你貼文到 Facebook 或 Twitter 上。由於這些資料會連結您的姓名和遊戲帳號,因此對網路犯罪者來說很有價值。例如 2011 年,網路犯罪者盜取了 7,000 萬名 Sony PlayStation 玩家的帳號。同年,2 億 2,500 萬美元的線上虛擬寶物失竊。這可是一筆鉅款,網路犯罪者是如何取得的?

網路犯罪者會設下陷阱來引誘線上玩家。他們會對電玩主機相關的搜尋結果下毒。當您在搜尋引擎上輸入「Wii」的時候,您就可能找到網路上 4,696 個資料竊取網站之一,其中包括專門騙取個人資料的網路釣魚網站。當您在提供個人資訊或付款資訊之前,請務必確定自己連上的是真正的官方網站,您可以重複檢查一下連結的網址與品牌標誌。

唯有確實掌握才能維持安全。舉例來說,當您的電玩主機連上家用網路時,歹徒就可能窺探您的系統。凡有小孩的家庭皆應對一些常用功能設下限制,例如:可顯示的遊戲、電影及電視節目類型、網際網路的使用、線上互動等等,務必確保遊戲主機只能連上適合小朋友的安全網站。總之就是要確實掌握遊戲狀況。

@原文來源: https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/real-threats-found-in-virtual-gaming-consoles

假 Adobe Flash下載網頁,暗藏後門程式

趨勢科技最近發現駭客入侵了Gizmodo的巴西網站。攻擊者修改了Gizmodo首頁來加入將訪客導到另一受駭網站的腳本。這第二個被駭網站位在瑞典,使用了.SE網域。攻擊者還上傳一個Webshell到此網站(伺服器在瑞典)以確保對該伺服器的控制。

打開受駭網站會載入一個惡意網址,它包含一個葡萄牙文的假Adobe Flash下載網頁:

圖1、假Flash下載網頁

這檔案事實上是被偵測為BKDR_QULKONWI.GHR的後門程式。(另一個該注意的是,目前的Flash Player版本是14.0.0.145,跟此網頁上的版本相差甚遠。)

此後門程式實際上是放在Google雲端硬碟;現在試著去下載會出現它已達到下載限制的訊息。

圖2、Google雲端硬碟訊息

我們可以看到攻擊者使用一合法服務來誘騙使用者認為所下載的檔案並非惡意。根據我們的調查,另一個網站 – 這一個是物流公司 – 也被類似方式所駭。無論是Gizmodo或這物流公司網站都代管在UOL,這是巴西最大的ISP和內容供應商。我們目前正在調查是否有可以被用來穿透這網頁伺服器。

Gizmodo巴西分公司已經被告知這一威脅,並且立即刪除他們伺服器上被更改的程式碼。此外,我們也通知Google關於位在Google雲端硬碟的惡意檔案,好讓它可以被刪除。趨勢科技產品也可以在各方面來封鎖此一威脅。

此次攻擊相關的檔案雜湊值是:

  • cd9efd3652b69be841c2929ec87f3108571bf285

 

免費下載 防毒軟體 PC-cillin 試用版下載

 

@原文出處:Gizmodo Brazil Compromised, Leads to Backdoor作者:Fernando Mercês(資深威脅研究員)

免費看暑期強檔電影《龍虎少年隊:童顏巨捕》、《變形金剛 4》、《黑魔女:沉睡魔咒》?當心詐騙!

暑假已成了強檔電影的代名詞,但不幸的,這些電影也成了網路犯罪集團的社交工程誘餌。

依照過去幾年的慣例,趨勢科技工程師同樣調查了一下今夏可能成為威脅工具的暑期強檔電影。今年,《龍虎少年隊:童顏巨捕》是最熱門的社交工程(social engineering 誘餌,其次分別是《變形金剛4:絕跡重生》和《黑魔女:沉睡魔咒》。而這些所謂的免費影音網站的廣告都張貼在哪些地方呢?Tumblr 排名第一,其次是 WordPress 和 Blogspot。

Movie1

圖 1:最常被歹徒用來當成誘餌的暑假強片。英文片名

圖 2:影音網站廣告張貼處。

電影相關網址點閱次數最多的地區是美國,其次是澳洲和印度。

圖 3:影音網站瀏覽排行榜。

 

可疑的影音網站

使用者只要上前述的網站搜尋一下關鍵字,就能找到這些影音網站。例如:我們在社群媒體 Facebook 上搜尋一下「馴龍高手2」,就找到了一個相關的頁面。

圖 4:宣傳免費影音網站的 Facebook 頁面。 繼續閱讀