對許多物聯網(IoT ,Internet of Thing)使用者來說,裝置端口遭受攻擊一直是個問題。特別是TCP端口5555,因為廠商的預設開啟而在過去帶來許多問題,讓使用戶暴露在攻擊之下。
趨勢科技最近在7月9日至10日及7月15日偵測到兩個可疑的活動高峰,發現了使用端口5555的新漏洞攻擊。這一次攻擊利用了Android Debug Bridge(ADB)命令列工具,這個Android SDK工具可以用來處理裝置間的通訊,也讓開發人員可以在Android裝置上執行和除錯應用程式。我們的資料顯示第一波主要出現在中國和美國,而第二波主要是韓國。
圖1、7月1日至7月15日間TCP端口5555的活動資料。注意到7月9日和10日出現的高峰及7月15日的第二次高峰
趨勢科技近期偵測到一波新網路攻擊,Android(安卓)惡意程式「ANDROIDOS_XLOADER.HRX」會透過入侵路由器篡改網域名稱系統設定(DNS)進行散播,推播假冒的通知訊息引誘受害者去惡意網域下載 XLoader惡意程式,並喬裝成 Facebook 或 Chrome 等正常應用程式,進一步竊取裝置上的包括身分識別與金融帳號密碼等個人敏感資料,不法人士瞄準了台灣、香港、中國大陸、日本和韓國等亞洲地區進行散播攻擊。
XLoader既是間諜程式,也是銀行木馬程式,一旦受害者裝置遭到感染之後,XLoader 除了可以掌握到所有應用程式的相關資訊、推播訊息,還能偷看簡訊、暗中錄下語音通話。更令人擔心的是,其會建立一個臨時的網站伺服器以進行網路釣魚來騙取受害者的個人資料,為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。它的惡意行徑眾多,以下列出部分:
趨勢科技提醒一般消費者,XLoader會利用系統管理權限來隱藏自己,並在暗中執行惡意指令,因此受害者幾乎不易察覺,呼籲使用者應養成正確的資安習慣,例如設定高強度密碼、定期更新及修補路由器韌體、啟用路由器內建防火牆、定期檢查路由器設定等方式來防範家用或企業路由器漏洞的威脅。也建議系統管理員和資安人員應妥善設定路由器組態來防範DNS快取汙染這類的攻擊。
此攻擊會先入侵路由器然後竄改 DNS 設定,進而將受害者導向駭客指定的網域。接著受害者會收到緊急通知,引誘受害者去惡意網域下載 XLoader。
採用多層式防護 保護手機行動裝置資料與隱私
跨平台防護的PC-cillin 也同步支援 Android與 iOS行動裝置防護,可攔截上述相關惡意應用程式。除此之外,其多層式的防護也能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障使用者安全。
PC-cillin 雲端版
防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
》 即刻免費下載試用
更多關於此事件的訊息請參考
新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時,就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容,甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。
不僅如此,XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 。它的惡意行徑包含: 發送簡訊、 啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。
趨勢科技從三月初開始便偵測到一波新的網路攻擊,現在,這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器),進而散布及安裝惡意的 Android 應用程式,趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。
此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己,讓自己一直躲藏在裝置內。
圖 1:假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。 繼續閱讀
如同 AV Comparatives的Android防毒比較報告(2018年1月)所顯示的, 趨勢科技行動安全防護 for Android連續第四年達到百分百的惡意軟體防護效果。在這次的獨立實驗室測試中,AV Comparatives對200多種行動安全產品進行對約2,000種惡意應用程式的防護測試,這項測試是因為實驗室發現有許多所謂的行動安全軟體徒有虛名,儘管在Google Play上擁有良好的使用者評論,卻只有很弱或根本沒有防護能力。趨勢科技行動安全防護除了提供100%的防護力外,而且也沒有出現誤報,它的防護等級超過其他知名安全應用程式(如Webroot、Cheetah Mobile、Lookout或 Malwarebytes所開發的安全應用程式),也超過了Google Play Protect(其保護等級僅為75.3% – 也就是比趨勢科技行動安全防護低24.7%)。
同樣地,趨勢科技行動安全防護也拿到AV-TEST的認證獎章,如同該實驗室的AV-TEST產品評鑑和認證報告(2018年1月)所顯示,趨勢科技行動安全防護for Android在對最新Android惡意軟體的即時測試中達到100%的保護,這項測試使用了2,766個惡意軟體樣本。事實上,對於2018年1月評比的四個禮拜測試期間所出現的最新Android惡意軟體也是一樣達到100%的偵測率。
在這些獨立實驗室測試中,趨勢科技行動安全防護攔截了約2,842個惡意軟體樣本,拿到了最高的6.0防護分數。此外,趨勢科技行動安全防護在可用性類別也取得了滿分的6.0分,這個類別著眼的是效能及安裝/使用Google Play商店或其他第三方應用商店的合法應用程式時所出現的誤報數量。
圖1、AV-TEST產品評鑑和認證報告 – 2018年1月
趨勢科技最近發現了一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。這個 Android 上的門羅幣挖礦程式具備自我保護和長期躲藏能力,會利用「裝置管理員」功能讓不熟悉這類技巧的使用者找不到該程式 (這也是 Android 勒索病毒 SLocker 慣用的技倆)。
我們深入分析 HiddenMiner 之後,找到了該程式所連結的礦池和錢包,並且發現歹徒已經從其中一個錢包提領了 26 個門羅幣 (XMR),約合 5,360 美元 (依據 2018 年 3 月 26 日匯率)。這意味著歹徒相當積極地利用感染裝置來開採虛擬貨幣。
全力挖礦,直到手機電力耗盡為止 與另一款導致裝置電池膨脹的Loapi 挖礦程式類似
HiddenMiner 會使用裝置的 CPU 來開採門羅幣,而且 HiddenMiner 的程式碼當中沒有切換開關、調控機制或最佳化設計,換句話說,該程式會全力開採門羅幣,直到裝置資源耗盡為止。照這情況下去,HiddenMiner 很可能會造成手機過熱,甚至故障。
這與另一個 Android 上的門羅幣挖礦程式 Loapi 類似,後者已經被其他資安研究人員發現會造成裝置電池膨脹。其實,HiddenMiner 感染裝置之後的作法也與 Loapi 類似,都是先撤銷原裝置管理員的權限而且會將螢幕畫面鎖住。
HiddenMiner 會出現在第三方應用程式商店。到目前為止,受害的使用者主要分布在印度和中國,但未來若擴散至其他地區亦不令人意外。
圖 1:其中一個門羅幣錢包的狀況。
不停彈出權限要求視窗,要求使用者給予管理者權限,直到使用者點擊同意
HiddenMiner 會假冒成正常的 Google Play 更新程式 (com.google.android.provider) 並且使用了 Google Play 的圖示。它會顯示視窗要求使用者將它啟用成裝置管理員,而且會不斷彈出視窗,直到使用者按下「Activate」(啟用) 按鈕為止。一旦獲得使用者的授權,HiddenMiner 就會開始在背後挖礦。
圖 2:惡意程式要求使用者將它啟用成裝置管理員的畫面。
神隱術:故意將應用程式圖示設成透明,而且使用空白的標籤
HiddenMiner 運用多重技巧來躲藏在裝置內,例如,它在安裝之後會故意將應用程式圖示設成透明,而且使用空白的標籤。一旦取得裝置管理員的權限,就會呼叫系統的 setComponentEnableSetting() 函式將自己從首頁 (Launcher) 畫面移除。請注意,惡意程式會隱藏自己並自動以裝置管理員權限在背後一直執行,直到重新開機為止。另一個名為 DoubleHidden 的 Android 廣告程式也是使用類似技巧。 繼續閱讀