下載逾五萬次的Android遊戲,暗中竊取 Facebook 和 Google 登入憑證

已經累積了超過 5 萬次下載的 Android 恐怖遊戲:
「Scary Granny ZOMBYE Mod: The Horror Game 2019」,刻意要借助另一款熱門遊戲「Granny」的知名度, 會竊取 Facebook 和 Google 使用者的登入憑證,並且還會出現其他惡意行為。
它運用了網路釣魚常用的伎倆,比如 跳出 Google Play 服務更新通知; 以「com.googles.android.gms」企圖讓受害者以為是「com.google.android.gms」正牌套件 (只差一個「s」字母)等等。

安裝前兩天不會出現惡意行為 直到跳出更新 Google Play 服務通知

這款遊戲的名稱是「Scary Granny ZOMBYE Mod: The Horror Game 2019」,顯然是刻意要借助另一款熱門遊戲「Granny」的知名度。為了避免玩家起疑,該遊戲在安裝之初的兩天內都不會出現任何惡意行為。

此遊戲首先會試圖利用網路釣魚(Phishing)方式蒐集使用者的 Google 登入憑證。它會顯示通知要使用者更新 Google Play 服務,並顯示一個假冒的登入頁面。而此頁面就像其他網路釣魚頁面一樣露出了破綻,在「sign in」(登入) 的字樣當中出現拼字錯誤。

若使用者不小心輸入了自己的登入憑證,惡意程式就會利用內建的瀏覽器和某個經過加密編碼的程式套件來登入使用者的 Google 帳號。這個經過加密編碼的套件還刻意取名成跟正常的 Android 應用程式套件很像,例如「com.googles.android.gms」,這跟 Google 某個名為「com.google.android.gms」的套件幾乎完全一樣 (只差一個「s」字母)。除此之外,惡意程式還用到了一個 Facebook 的程式套件叫作「com.facebook.core」,此套件似乎與 Google 的套件功能一樣。

繼續閱讀

每五分鐘跳出全螢幕廣告! 182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載逾九百萬次

隨著行動廣告支出的逐年增加,網路犯罪分子也會持續嘗試用更加巧妙的伎倆來透過廣告軟體賺取非法利潤。趨勢科技最近觀察到一波進行中的廣告軟體活動(趨勢科技偵測為AndroidOS_HiddenAd.HRXAA和AndroidOS_HiddenAd.GCLA)隱藏在182個免費下載的遊戲和相機應用程式背後。它們大部分都能夠在Google Play上找到,已經被下載了數百萬次。這波廣告軟體活動可以隱藏應用程式圖示,跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測。

每五分鐘跳出全螢幕廣告!182個免費遊戲和相機應用程式夾帶廣告軟體,已被下載數百萬次

這波廣告軟體活動可以隱藏應用程式圖示,跳出無法立即關閉或退出的全螢幕廣告以及躲避沙箱偵測,圖為中文廣告樣本。

趨勢科技在2019年6月中旬發現這波偽裝成遊戲和相機應用程式的廣告軟體活動。我們根據應用程式的行為產生啟發式特徵碼來分析偵測到的其他樣本。經過分析應用程式套件名稱、標籤、發布時間、離線時間、程式碼結構以及程式碼樣式和功能後,我們推斷這波廣告軟體活動自2018年以來就一直活躍著,雖然所用的應用程式是由不同開發者所提交。

182應用程式,有111個出現在Google Play

在182個會載入廣告軟體的應用程式裡,有111個可在Google Play上找到。其他惡意應用程式可在託管一般應用程式的第三方商店找到(如9Apps或PP Assistant)。經過分析,我們發現Google Play上的111個應用程式中有43個是獨特或具備不同功能,其餘的則是迭代或重複的應用程式。

我們在分析過程中發現此波廣告軟體活動所用的惡意應用程式都已從Google Play上移除。這些應用程式在移除前的下載總量為 9,349,000。

圖1. 最後八個假遊戲和相機應用程式也已從Google Play上移除。這波廣告軟體活動所用的111個惡意應用都已經從Google Play移除。

繼續閱讀

【手機病毒 】會竊取17 種Android手機資料的網路間諜Bouncing Golf ,透過社群媒體散播

會竊取17 種Android手機資料的網路間諜Bouncing Golf ,透過社群媒體散播

趨勢科技發現了一波針對中東國家的網路間諜活動。我們根據“golf”套件內的惡意程式碼將此波活動命名為“Bouncing Golf”。趨勢科技將其偵測為AndroidOS_GolfSpy.HRX,擁有多樣的網路間諜功能。駭客會重新封裝合法應用程式並嵌入惡意程式碼。我們監控 Bouncing Golf 所用的命令和控制(C&C)伺服器並且看到超過 660台感染 GolfSpy 的Android裝置。大部分的被竊資料似乎都和軍事有關。

這些重新封裝的惡意應用程式並沒放在Google Play或熱門的第三方應用程式市場,我們在追查GolfSpy時,發現這些放惡意應用程式的網址只會透過社群媒體散播。我們也從趨勢科技行動應用程式信譽評比服務取得部分 GolfSpy樣本進行分析。

另外值得注意的是,Bouncing Golf或許跟之前報導過的行動網路間諜活動(Domestic Kitten)有關。例如有相似的程式碼字串結構。竊取資料也用相似的格式。

繼續閱讀

資安問題要重視 小心手機也會中毒!『 行動安全防護 』獲得AV-TEST推薦的滿分手機防護軟體

沒在開玩笑,自從我裝了行動安全防護後,什麼連結我都大膽的點下去

以前大家會怕電腦中毒,都會幫電腦裝防護軟體,現在人手一台手機,手機就像一台小電腦一樣,能做到的事情也越來越多,大家都會擔心手機資安的問題,那你們知道要怎麼幫手機做防護嗎?今天貝爾要介紹一款由趨勢科技推出的手機防護軟體叫「行動安全防護」,還記得貝爾之前介紹過濾詐騙訊息的LINE機器人「防詐達人」嗎?也是趨勢科技家的產品喔!

資安問題要重視 小心手機也會中毒!『 行動安全防護 』獲得AV-TEST推薦的滿分手機防護軟體

偵測網頁是否安全

行動安全防護 裡面有很多功能,貝爾的介紹主要是對Android版本的App,那就先從大家最擔心的資安來說起吧!現在網路上有很多想要騙個資的釣魚網站、或是詐騙網址,尤其現在各種詐騙手法層出不窮,想利用某些優惠資訊把你騙進去點連結,很多以假亂真的網頁讓人一眼很難辨別真假

資安問題要重視 小心手機也會中毒!『 行動安全防護 』獲得AV-TEST推薦的滿分手機防護軟體

行動安全防護 裡面的「安全上網」會自動偵測有危險的網址,並即時告知,像它會偵測我們日常使用的應用程式,包括LINE、Facebook、Instagram、及常用Chrome瀏覽器等,當我們點進具有風險的網站,像是這個網站可能會傳送惡意軟體或曾經從事網路詐騙,它就會跳出一個大大的提醒並直接封鎖網頁

▼以身犯險給大家看,就會跳出這樣的警告網頁啦!

繼續閱讀

Google Play和Microsoft商店移除可疑的應用程式

https://blog.trendmicro.com/wp-content/uploads/2019/04/20180416024858842-951-S8oXcwu-800-300x200.jpg

Google Play和微軟最近都從自己的網路商店移除多個可疑的惡意應用程式。Google從Play商店移除總數29個美肌相機應用程式,其中有大多數都會向使用者派送色情內容或將其導到釣魚網站。趨勢科技發現的這些惡意美肌相機應用程式看起來合法,但一旦安裝就很難被移除。

同時微軟商店也移除了八個挖礦劫持應用程式,包括Fast-search Lite、FastTube和Clean Master等。一旦下載安裝,這些應用程式就會在其網域伺服器啟動Google代碼管理工具,接著會啟動挖礦腳本。挖礦劫持是種會利用他人設備非法挖掘虛擬貨幣的惡意活動 – 如果你安裝了這些應用程式,那受害的就是你的裝置了。

繼續閱讀