假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。 繼續閱讀

什麼!7億安卓裝置受監控 個資通通流回中國

news-red-tv

安卓系列產品(Android)的忠實用戶看過來~就在上週,安卓裝置被爆出驚人安全漏洞:安卓承包商最近在安卓裝置上內建一個惡意軟體,其功能涵蓋監視用戶的行動足跡、聊天對象、甚至訊息內容……。詳細內容美國當局正進行嚴密的調查,然而雖不清楚受影響到用戶的實際數量,來自中國,同時也是編寫此軟體的上海廣升信息技術有限公司(Adups)已表示超過七億個安卓裝置內建此軟體。

揭發該漏洞的行動安全公司Kryptowire表示:廣升的軟體將信息內容、聯絡人名單、通話記錄、發送位址,以及其他相關資料從世界各地傳送回中國。電子產品中出現的資安漏洞大多數為程序錯誤,然而這次廣升編寫的內建軟體是蓄意內嵌以便監視用戶行為,因此引發很大的迴響。

延伸閱讀>>反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP! 繼續閱讀

反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP!

剛看完《怪獸與他們的產地》的小英,透過app叫了一台車,搭上車後駕駛突然詢問她的名字是不是xx英並在OOO工作。驚訝的小英不禁開始懷疑自己是否曾經見過這位駕駛,殊不知自己的手機以及其它個資已公布於公開資料庫……。

通用 企業
上週日(2016年11月20日) 三款人氣APP爆出資安漏洞!根據雅虎新聞報導〈CM Security 及 WhatsCall 涉洩露用家資料 獵豹移動即日暫停功能〉,CM Security、Truecaller及Sync.ME總計收集全球超過30億筆聯絡資料,並儲存於公開資料庫供人查詢,而連絡資料包含姓名、連絡電話、社群帳戶資料。

雅虎新聞將個資曝光歸因於三款APP的「來電攔截功能」非法收集用家聯絡人名單,並上載經集成的公開的資料庫。用戶下載APP時為了啟用功能,需開放使用者權限,以Truecaller為例:Truecaller隱私政策聲明,公司將轉移、處理及儲存用戶個人資料至多個國家,並將資料與公司授權的第三方合作單位分享。

延伸閱讀>>
手機不設防?同意條款到底給軟體公司什麼權限呢?
什麼!7億安卓裝置受監控 個資通通流回中國

隨著網路交易起步,許多用戶將手機號碼當作銀行轉帳、信用卡聯繫或網拍的驗證方式。簡簡單單的姓名以及手機號碼將提供駭客無限的可能。若未使用上述APP的使用者也不要太急著放心,這三款APP的下載總數約 2 億,曝光資料卻逾30億!換句話說,即使沒有下載上述APP,也會因為親朋好友下載而淪為受害者。這次事件受害者包括政商演藝名人,較知名的有香港特首梁振英、香港政務司司長林鄭月娥、澳門博彩執行董事梁安琪、康宏金融 CEO 莊偉忠、填詞人林夕、藝人汪明荃、陳百祥等人。 繼續閱讀

熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本

七月iOS 和 Android 最新手機遊戲 Pokemon Go (精靈寶可夢) 在真實世界投下了一顆震撼彈。

Pokemon Go 是神奇寶貝系列最新的熱門遊戲。Pokemon Go 遊戲的目標就是「Gotta catch ‘em all」(必須將它們全部收服),這一點玩家須靠手機和擴增實境技術在真實世界中達成。Pokémon Go 會利用手機的 GPS 定位並搭配 Google 地圖在真實世界的某些地點放置一些神奇寶貝供您透過手機搜尋。一旦您所在位置附近有神奇寶貝出沒,您就可以利用手機的相機來查看神奇寶貝,然後將它收服。此功能必須使用手機來尋找神奇寶貝,再藉由手機的照相功能讓您在周遭的環境上看到神奇寶貝。接著,您要在螢幕上投出一個神奇寶貝球來收服神奇寶貝並獲得經驗點數。

除此之外,Pokémon Go 還會指引使用者帶著神奇寶貝到真實世界的某些地點去找神奇寶貝競技場 (Gym),好讓神奇寶貝在此進行戰鬥訓練及升級。

假使去除了真實世界的元素,基本上這遊戲其實並無真正創新之處。Pokémon Go 結合擴增實境在真實世界進行遊戲的方式,可說是獨創而前所未見。不過,也讓我們見到擴增實境遊戲一些始料未及的風險。

這些始料未及風險就是真實的人身傷害。Pokémon Go 遊戲在上市的幾天之後即發生了多起武裝搶劫事件,歹徒利用遊戲來尋找及引誘受害者。此外,還有一些瘋狂玩家為了尋找和收服神奇寶貝竟然私闖民宅。美國更出現有玩家為了抓神奇寶貝而私闖民宅並且遭主人打傷的案例。還有些玩家因為玩得太過忘我、未注意到周遭情況而受傷或死亡。

因為遊戲本身相當有趣,就像任何電玩遊戲一樣,您很容易太過著迷,而且這款遊戲又需要全神貫注。是的,遊戲在一開始都會特別警告您要小心,但很快就會被遺忘。

App Store 和 Google Play 市集上源源不絕的新遊戲,可說是行動市場不斷成長的一股動力。不過,手機遊戲的不斷成長,也讓這些遊戲成為網路犯罪集團最佳的攻擊途徑之一。Pokemon Go 這款利用擴增實境技術的最新遊戲讓全球粉絲為之瘋狂。不幸的是,網路犯罪集團很快就盯上這股熱潮,遭到篡改的冒牌 Pokemon Go 應用程式,已開始在網路上流傳。冒牌版本裡頭暗藏著一個名為 DroidJack 的 RAT 遠端存取木馬程式 (趨勢科技命名為 AndroidOS_SANRAT.A)。此惡意版本已於 7 月 7 日上傳至非官方檔案分享網站 (離該遊戲在美國、澳洲和紐西蘭正式上市僅僅不到 72 小時)。

[延伸閱讀:數字會說話:遊戲玩家所面臨的危險]

惡意版本的目標並非美國、澳洲和紐西蘭的玩家,而是那些急著想要嘗鮮、卻位於遊戲尚未正式發行地區的玩家,他們會從非官方商店下載該遊戲並自行安裝。這個遭到篡改的遊戲,基本上可讓駭客完全掌控受害者的手機。此惡意程式可取得 Android 裝置所有主要功能的權限,包括存取、修改及執行各種功能:電話、簡訊、通訊錄、相機、錄音機,以及啟用或停用 Wi-Fi 連線。 繼續閱讀

《 小廣與小明的資安大小事 》美女播報氣象 app,讓人冒冷汗?

漫畫 詐騙應用程式 假app fake app

日本資安漫畫 banner

 

有沒有提供過多的資訊給應用程式?

在智慧型手機上安裝應用程式時,是否有確認允許應用程式取得哪些權限?或許你正在安裝的應用程式,是打算竊取智慧型手機內的個人資料或聯絡人資料的非法應用程式。事實上,分辨非法應用程式的提示就在允許應用程式取得權限的清單畫面中。 繼續閱讀