即時通行動應用現在正進入了戰國時代,爭取著成為下一個人們最常用來通訊的方式。拿日本當例子,Line和 KakaoTalk 這兩個受歡迎的聊天應用程式都號稱在日本擁有上億的使用者。
所以當網路犯罪份子利用這些應用程式的名字來攻擊也就不令人驚訝了。在這篇文章裡,我們會介紹 KakaoTalk 如何成為攻擊者的目標。(不過,我們也要先聲明,KakaoTalk並不是唯一被針對的品牌,其他品牌和應用程式也同樣會是目標)。使用者需要了解這些惡意應用程式所帶來的威脅。
第一個例子:木馬化的應用程式
一種產生惡意應用程式的常見方式就是取得正常版本的應用程式,再加入惡意程式碼。這樣就製造出一個木馬化的應用程式,而對使用者來說,看起來是正常的。然而,它實際上包含了惡意程式碼。
這隻木馬化版本的KakaoTalk被偵測為ANDROIDOS_ANALITYFTP.A,並且會經由電子郵件散播。如果有人檢查這應用程式的詳細資訊,就會發現正常應用程式和這修改過版本間的差異:
表一:正常版本和木馬化版本間的差異
此外,當我們檢查應用程式所用的權限時,值得注意的是,木馬化的應用程式會要求比正常應用程式更多的權限。
圖一:「ANDROIDOS_ANALITYFTP.A」所要求的權限
ANDROIDOS_ANALITYFTP.A似乎是個被竊聽者所使用的木馬化應用程式。這應用程式會定期地發送聯絡人資料、簡訊和一些手機設定到一個命令和控制(C&C)伺服器,好讓攻擊者可以取得。
要將應用程式木馬化的程序比較容易,因為大多數Android應用程式是用Java程式語言編寫。除非有特別加以混淆,任何Java應用程式的原始碼相對來說都比較容易取得。接著,攻擊者就可以加入或修改程式碼,好將惡意行為加入到應用程式裡。
第二個例子:假應用程式
除了木馬化應用程式之外,在一個月前,也有假應用程式冒用KakaoTalk的名字。KakaoTalk透過他們的官方Twitter帳號來警告使用者關於一個「KakaoTalk安全外掛程式」:
圖二:來自KakaoTalk的Twitter警告
我們將這假安全程式偵測為ANDROIDOS_FAKEKKAO.A。許多使用者成為這詭計的犧牲品,並不只是因為它利用KakaoTalk這品牌,還因為它在名稱中加入「安全」二字。
這個惡意應用程式安裝後會做什麼呢?它會讀取使用者的聯絡人,並利用手機的簡訊功能來對所有聯絡人發送簡訊。正因為如此,它很容易被使用者發現自己的手機出了問題。
而這假應用程式最特別的是它所散播的方式。攻擊者利用一個被駭的 Google Play 開發者帳號來散播一個重新導向應用程式:
圖三:重新導向應用程式
圖一:比較Android和Windows惡意軟體的時間表
