Android - 資安趨勢部落格

偽裝成無線網路安全應用程式,RottenSys將 Android 行動裝置變成殭屍網路

2018 年 03 月 22 日2018 年 09 月 25 日趨勢科技 TrendMicro

報導指出一款名為「RottenSys」的惡意程式，透過植入廣告誘騙用戶點擊、牟取暴利，估計近 500萬台手機在上市前就被暗藏惡意軟體，包括華為、小米、OPPO 等中國廠牌手機都遭殃。本文深入解析RottenSys 。

2016年以來影響近 500 萬台的Android設備

安全研究人員發現一款被稱為 RottenSys 的廣告軟體（趨勢科技將其偵測為ANDROIDOS_ROTTENSYS），據報自2016年以來影響了近500萬台的Android設備。RottenSys是根據所分析的樣本命名，目前有316種變種，每種都根據攻擊活動，所針對廣告平台及散播管道來客製化。進一步對RottenSys進行研究後發現幕後操作者正在嘗試新一波的攻擊，會將受影響設備變成殭屍網路。

[TrendLabs研究：2017年的行動威脅環境]

偽裝成無線網路安全應用程式要求Android權限

RottenSys會偽裝成無線網路安全應用程式/服務並要求Android上的權限。在安裝之後，它會經過一段時間再去連接命令與控制（C&C）伺服器 – 這是RottenSys躲避偵測的手法之一。另一個作法是廣告軟體只包含一個不會執行惡意行為的植入程式（dropper）組件。以下是RottenSys的運作方式：

安裝之後，植入程式將與C&C伺服器連線。
C&C伺服器會發送執行活動所需的其他組件列表。它們是用DOWNLOAD_WITHOUT_NOTIFICATION權限取回，這代表著無辜的使用者不會收到警告。
RottenSys使用開放原始碼的Android框架，這框架可以讓所有組件同時執行（即在設備主畫面顯示廣告）。
RottenSys會利用一個稱為MarsDaemon的框架來保持程序活著。確保即使RottenSys程序被強制終止也能回復RottenSys的運作。

[來自TrendLabs安全情報：GhostTeam廣告軟體竊取Facebook帳密]

幕後操作者可以控制手機並秘密地安裝更多應用程式

MarsDaemon會影響手機效能並且會顯著地消耗電力。但除了造成對手機的耗損之外，研究人員發現RottenSys的幕後操作者在10天內就可以已經賺得了超過115,000美元。繼續閱讀

安卓手機變成竊聽錄音機!駭客組織利用 PoriewSpy對 Android 用戶進行間諜攻擊

2018 年 02 月 06 日2019 年 12 月 03 日趨勢科技 TrendMicro

趨勢科技發現PoriewSpy惡意應用程式攻擊印度的安卓(Android) 使用者，發動攻擊的駭客團體先前曾對政府官員進行攻擊, 這些惡意應用程式自 2017 年底以來，就一直進行窺探和竊取資料的間諜攻擊事件。其背後的操作人員，可能與 2016 年發現的一個可疑網路間諜組織有關。

基於其命令及控制 (C&C) 伺服器的相似性，我們也懷疑，此駭客組織使用了以 DroidJack 或 SandroRAT (偵測為 ANDROIDOS_SANRAT.A) 建置的惡意應用程式。如果使用者的 Android 裝置安裝了這個遠端存取木馬程式 (RAT)，入侵者就能夠完全控制此裝置。

PoriewSpy 會將安卓裝置轉變成錄音機，用來竊取其他裝置的資訊

早在 2014 年，PoriewSpy 會竊取受害者裝置上的敏感資訊，例如簡訊、通話記錄、聯絡人、位置和 SD 卡檔案清單。PoriewSpy 也可以錄下受害者的語音通話內容。此惡意軟體是利用稱為 android-swipe-image-viewer 或 Android Image Viewer 的開放原始碼計畫所開發的，惡意軟體的操作人員修改了此計畫的程式碼，加入了下列元件：

權限
android.permission.INTERNET	允許應用程式開啟網路通訊端
android.permission.RECORD_AUDIO	允許應用程式錄製音訊
android.permission.ACCESS_NETWORK_STATE	允許應用程式存取網路相關資訊
android.permission.READ_SMS	允許應用程式讀取簡訊
android.permission.READ_LOGS	允許應用程式讀取低層的系統日誌檔案
android.permission.GET_ACCOUNTS	允許存取 Accounts Service 中的帳戶清單
android.permission.READ_CONTACTS	允許應用程式讀取使用者的聯絡人資料
android.permission.READ_CALL_LOG	允許應用程式讀取使用者的通話記錄
android.permission.READ_PHONE_STATE	允許對手機狀態進行唯讀存取
android.permission.WRITE_EXTERNAL_STORAGE	允許應用程式寫入外部儲存裝置
android.permission.READ_EXTERNAL_STORAGE	允許應用程式從外部儲存裝置讀取
android.permission.RECEIVE_BOOT_COMPLETED	允許應用程式接收在系統完成開機後廣播的 ACTION_BOOT_COMPLETED 訊息
android.permission.BATTERY_STATS	允許應用程式更新收集到的電池統計資料
aandroid.permission.ACCESS_FINE_LOCATION	允許應用程式存取精確定位 (例如 GPS) 的位置
android.permission.ACCESS_WIFI_STATE	允許應用程式存取 Wi-Fi 網路相關資訊
android.permission.ACCESS_COARSE_LOCATION	允許應用程式存取粗略定位 (例如 Cell-ID、WiFi) 的位置
android.permission.ACCESS_MOCK_LOCATION	允許應用程式建立用於測試的模擬位置提供者
android.permission.CHANGE_NETWORK_STATE	允許應用程式變更網路連線狀態
android.permission.CHANGE_WIFI_STATE	允許應用程式變更 Wi-Fi 連線狀態

圖 1：惡意軟體作者修改 Android Image Viewer 所加入的權限

服務
AudioRecord	主要間諜元件
LogService	用來收集日誌
RecordService	音訊錄製

繼續閱讀

熱門遊戲為何要存取通訊錄?某些app為何偷偷收音? 當心 Android 應用程式正偷走你的隱私!

2018 年 01 月 04 日2018 年 09 月 25 日趨勢科技 TrendMicro

熱門的糖果遊戲為何需要存取你的通訊錄?

你知道有些應用程式可以用麥克風收音卻沒讓你知道嗎?

能夠控制相機的應用程式在使用相機時必須很明顯（像是在螢幕上顯示鏡頭看到什麼），不過在技術上並不總是如此。

它們的目的是什麼?

App的自動提醒功能超方便，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機安裝導航應用程式很實用，可以在你出門時告訴你需要在30分鐘內開車到行事曆中位於市區另一邊22分鐘車程的地方。為了做到這點，應用程式必須存取你的GPS位置和你的行事曆，可能還要隨時都監控著這些資訊。你或許並不想要分享這些。但這實用的自動提醒，卻會讓人知道你的位置和行程安排。如果你覺得不妥，那該怎麼辦？

手機應用程式融入我們的日常生活，有件事情是你該去思考衡量的：“隱私VS方便”。

Android作業系統有提供選項來處理這類情況，讓使用者自行設定應用程式所擁有的權限。打開Android設定，然後找到類似“應用程式管理員”或搜尋“權限”（這會依你所用的Android版本而異）。

Google Pixel XL的設定選單，作業系統是Android Oreo。

你可以在這管理應用程式所能使用的服務，如：相機、地理位置、聯絡人等等。也有些相當重要的選項，像是在其他應用程式之上顯示內容或是鎖定和抹除設備上的所有內容。花些時間來好好設定，讓你能夠更加清楚應用程式在背後會做些什麼。繼續閱讀

高危險Android漏洞Janus, 攻擊者可繞過簽章,竄改APP

2018 年 01 月 03 日2018 年 01 月 05 日趨勢科技 TrendMicro

Android的2017年12月安全更新修補了一個嚴重漏洞，這個漏洞會讓攻擊者在不影響簽章的情況下修改已安裝的應用程式。讓攻擊者能夠存取受影響的設備（間接地）。研究人員在去年 7月首次發現這個漏洞（被指定為CVE-2017-13156，也被稱為Janus漏洞），受到影響的Android版本包括5.1.1到8.0；約有74%的Android設備安裝這些版本。

趨勢科技發現至少有一個應用程式使用了這技術。這特定應用程式利用此漏洞讓自己更難被行動安全軟體偵測。之後也可能用來侵害其他應用程式並存取使用者資料。

漏洞分析

Android應用程式的安裝套件（.APK檔案）其實是.ZIP壓縮檔。.ZIP檔案格式有幾個特點讓這種攻擊發生。看看底下的基本.ZIP檔案結構：

圖1、.ZIP檔案結構

檔案結構由三部分組成：檔案實體（File Entry）、核心目錄（Central Directory）和核心目錄結束（EOCD）。核心目錄包含壓縮檔內每個檔案的資料；應用程式使用此目錄來找出記憶體位置以存取所需的檔案。

不過每個檔案實體並不需要相鄰。甚至可以將任意資料放入.ZIP檔案的這部分，如下所示：

圖2、ZIP檔案結構（紅色為任意資料）

攻擊者可以在APK檔案開頭放進一個惡意DEX檔案（如下所示）。有漏洞的Android版本仍會將其識別為有效的APK檔案並且執行。繼續閱讀

Android 手機勒索病毒再進化-更大、更壞、更強!

2017 年 10 月 16 日2017 年 10 月 06 日趨勢科技 TrendMicro

行動裝置威脅不光只有資訊竊取程式和惡意程式而已，還有手機勒索病毒 Ransomware (勒索軟體/綁架病毒)。它們雖然不像電腦版的勒索病毒 (如 WannaCry(想哭)勒索蠕蟲和 Petya) 威力那麼強，但隨著手機使用率越來越高 (尤其是企業)，很自然地會有越來越多網路犯罪集團開發出這類威脅。

2017 年上半年偵測到 23.5萬隻Android 手機勒索病毒，為 2016 一整年的 1.81 倍

以 Android 平台手機勒索病毒為例，去年 (2016年) 第四季趨勢科技偵測及分析到的變種數量是 2015 年同期的三倍。沒錯，增加幅度相當驚人。光 2017 年上半年我們就已經偵測到 235,000 個 Android 手機勒索病毒，這數量足足是 2016 一整年的 1.81 倍。

圖 1：Android 手機勒索病毒偵測數量比較 ─ 2016 與 2017 年前兩季。

然而最近突然爆發的一波專門針對 Android 裝置的鎖定螢幕與檔案加密惡意程式，也突顯出手機勒索病毒數量正不斷成長，其中包括：會模仿 WannaCry 並利用正常社群網站散布的 SLocker，以及威脅要將受害者個人資料公開的 LeakerLocker。現在，SLocker 的原始程式碼據聞已經被反組譯出來並外流至 GitHub 上，未來勢必將看到更多類似的威脅。

那麼，Android 加密勒索病毒目前的發展情況如何？行動裝置威脅情勢的未來展望又是如何？

圖 2：加密勒索病毒的典型行為。

從螢幕鎖定程式演變至檔案加密程式
過去，典型的 Android 手機勒索病毒都相當單純。它們會將裝置螢幕鎖住，然後顯示一個勒索訊息畫面。這類螢幕鎖定程式第一次演化成檔案加密勒索病毒是在 2014 年 5 月，也就是：Simple Locker (趨勢科技命名為 ANDROIDOS_SIMPLOCK.AXM)，該病毒會將行動裝置內建儲存空間及 SD 卡上的檔案加密。從那時起，我們便陸續看到一些類似的威脅，其中某些變種甚至只是將原本的惡意程式重新包裝，然後就在第三方應用程式市集上架。其他的則是非常積極地頻繁發布更新以躲避偵測。事實上，我們甚至看到某個惡意程式作者在五月份修正其勒索病毒問題，以更新其勒索訊息顯示及取得的方式。繼續閱讀