安卓 - 資安趨勢部落格

如何確定你連上的是官方網路銀行應用程式?

2015 年 12 月 01 日2015 年 12 月 01 日趨勢科技 TrendMicro

每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」的假銀行應用程式

當你在Android手機上使用網路銀行時，你認為銀行自己的應用程式是安全連接你帳戶的最佳方法。這的確是 – 如果它真是銀行自己的應用程式。

但如果它不是呢？萬一它是假的？而且你要怎麼知道？

在2013和2014年，有超過4000名韓國行動銀行的使用者被誘騙觀賞電影「名嘴出任務（The Interview）」，不知不覺下載了假應用程式，從他們的帳戶中吸走了數百萬 – 這可以從趨勢科技行動威脅團隊的Simon Huang發表於2015年的白皮書「韓國假銀行應用程式騙局」中看到。

這些應用程式由來自中國吉林省延邊的惡意集團所製造。它們看起來和運作起來就跟真的一樣，但卻會偷走使用者資料，包括手機號碼、帳戶名稱和號碼以及登錄憑證，這些只是從使用者帳戶中竊取金錢的前奏。
【延伸閱讀】中國「延邊幫」以行動裝置惡意程式偷走南韓網銀用戶數百萬美元

這問題在發展中國家很嚴重，特別是無法訪問Google Play的地方，那裡的使用者必須從無法確保自己網站沒有假銀行應用程式的第三方商店來安裝應用程式。結果呢？根據趨勢科技的行動應用程式信譽評比服務（MARS）所收集的資料，每兩個銀行應用程式，就會出現一個惡意或潛在有害「木馬化」或「重新打包」過的假銀行應用程式。繼續閱讀

《小廣和小明的資安大小事》阿嬤好想要的神奇回春乳液

2015 年 11 月 18 日2015 年 11 月 11 日趨勢科技 TrendMicro

智慧型手機就一定安全！？

你是否如同漫畫中的阿嬤，認為智慧型手機很安全呢？

性質與電腦相近的智慧型手機，與電腦同樣可能碰到網路上的危險。其中必須注意的包括網路釣魚（Phishing）攻擊及誘騙付費攻擊、偽造的安全警告等，利用非法網站詐騙使用者的行為。目前已確認有針對使用智慧型手機瀏覽而刻意製作的非法網站。

網路釣魚攻擊

此手法乃利用假冒實際存在的企業所發出的電子郵件或社群網站的訊息，引誘使用者進入與真正的網站極為相似的非法網站，然後騙取使用者在網站上輸入的ID/密碼等個人資料。

【延伸閱讀】搜尋” LINE”,跳出假冒 LINE 網路釣魚詐騙網站,意圖盜帳號密碼！

誘騙付費攻擊

此手法會在使用者按下成人網站的圖片或電子郵件的網站連結之後，顯示「已完成入會註冊。請支付費用」等要求付款的畫面，藉此要求使用者付費。

繼續閱讀

百度音乐,手机百度,凤凰视频,爱奇艺PPS…Moplus SDK 的問題延燒到非百度應用程式

2015 年 11 月 10 日2015 年 11 月 13 日趨勢科技 TrendMicro

百度自製Moplus SDK被發現有後門漏洞-蟲洞(Wormhole)，影響14,000款APP，以及上億台Android裝置！只要Android裝置連上網路，駭客就有機會在你不知不覺的情況下，透過漏洞傳送釣魚網站，假訊息，下載惡意檔案、應用程式或APP到你的終端裝置（手機或平板），傷害裝置或竊取資訊。

受影響的百度開發APP，其中不乏受歡迎的APP，如愛奇藝、PPS等。趨勢科技持續進行研究，本來認定漏洞僅限在百度所開發的APP，最新發現有些「非百度」APP也受到波及，如汽车之家 (com.cubic.autohome),凤凰视频 (com.ifeng.newvideo)…等等。

目前約有4,000多個百度開發APP，常被預載在小米、華為、InFocus等手機或平板中。

趨勢科技最近探討了 Moplus SDK 的後門行為以及相關的 Wormhole 漏洞,，影響14,000款APP，以及上億台Android裝置！由於 Moplus SDK 是由百度所開發，而且並非公開供人下載，因此我們一開始認為這問題應該只侷限於百度所開發的應用程式而已。沒想到，趨勢科技最新的研究發現，一些非百度開發的熱門應用程式也同樣遭殃。

逐漸擴大的衝擊

根據趨勢科技的掃瞄發現，超過 14,000 個各類行動裝置應用程式的樣本都有此問題，包括同一個程式的多個不同樣本 (以安裝套件名稱為準) 都有問題。目前總共有 684 個不同應用程式的樣本含有此問題，包括一些熱門應用程式在內，例如：百度地圖和手機百度 (Baidu Searchbox)。下表顯示網路上問題樣本最多的前 20 個行動裝置應用程式：

安裝套件名稱	最高版本	蒐集到的樣本數
com.qiyi.video	6.1.2	1576
com.baidu.video	7.9.1	1398
com.baidu.BaiduMap	8.7.0	1307
com.baidu.browser.apps	6.2.16.0	1140
com.baidu.appsearch	6.6.2Beta	1100
com.nd.android.pandahome2	8.2.2	777
com.hiapk.marketpho	6.6.1.81	715
com.android.comicsisland.activity	3.3.10	690
com.baidu.hao123	6.1.1.0	642
com.baidu.searchbox	6.0.1	458
tv.pps.mobile	4.0.0	452
com.mfw.roadbook	5.8.6	417
com.tuniu.app.ui	6.0.7	407
com.ifeng.newvideo	6.9.6	392
com.baidu.netdisk	7.9.0	381
com.quanleimu.activity	6.1.1	329
com.dragon.android.pandaspace	6.6.1.91	322
com.yuedong.sport	3.1.1.4.159	318
com.dongqiudi.news	3.4.6	301
air.fyzb3	5.7.3	286

表 1：問題樣本最多的應用程式。

應用程式商店也受影響

在 Google Play 上，百度絕大多數的程式都已無此問題。但仍有一個應用程式還含有惡意程式碼，那就是：百度音樂。根據百度提供的資訊，該公司已不再維護該程式，因此該程式下星期將從 Google Play 下架。趨勢科技還發現另一個非官方應用程式 (央视影音) 也還含有此問題。

繼續閱讀

百度 Moplus SDK 開後門,上億Android 用戶受影響!!

2015 年 11 月 06 日2015 年 11 月 10 日趨勢科技 TrendMicro

Moplus SDK 的後門行為以及相關的 Wormhole 漏洞

這是一項重大問題，甚至比 Stagefright 漏洞還要嚴重，因為後者還需經由網路釣魚連結將使用者帶到某個網站，或是透過使用者的電話號碼才能發送惡意簡訊。但此 SDK 卻讓駭客只需單純地掃瞄網路 IP 位址，而且不需使用者配合採取任何動作，也不需任何社交工程技巧。

一個名為 Wormhole (蟲洞)的漏洞，據報專門攻擊百度的 Moplus SDK 軟體開發套件，最近因其攻擊成功之後所帶來的嚴重後果而聲名大噪。此漏洞是由中國的漏洞通報開放平台 WooYun.og 所舉報。

然而，經過趨勢科技的仔細研究之後發現，Moplus SDK 本身就內含一些後門功能，所以前述攻擊不必然是因為漏洞所引起或與之相關。目前，普遍的看法是此問題源自於 Moplus SDK 的存取權限控管沒有做好適當管制。因此，這個看似漏洞的問題，其實是該 SDK 本身內含後門功能所造成，例如：推送網路釣魚網頁、隨意插入聯絡人資訊、傳送假冒的簡訊、將本地端檔案上傳至遠端伺服器，以及未經使用者允許就安裝任何應用程式到 Android 裝置上。而且只要裝置連上網際網路，這些功能就能順利執行。如今，Moplus SDK 已內含在許多 Android 應用程式當中，目前大約有 1 億名 Android 用戶受到影響。此外，我們也發現，已經有一個使用 Moplus SDK 的惡意程式在網路上流傳。

此篇部落格將探討 Moplus SDK 當中的惡意功能，以及這些功能將為 Android 裝置帶來什麼風險。

圖 1：一個利用 Moplus SDK 將自己偷偷安裝到裝置上的惡意程式。

挖掘 Moplus SDK 的祕密

Moplus SDK 是由中國搜尋引擎龍頭百度所開發。在此次調查當中，我們檢視了兩個不同的 App，一個是「百度地图」(百度地圖) (com.baidu.BaiduMap，8.7.0) 另一個是「奇闻异录」(奇聞異錄) ( com.ufo.dcb.lingyi，1.3)。雖然它們內含的 SDK 版本有所不同，但程式碼卻大同小異。

圖 2：「奇聞異錄」(com.ufo.dcb.lingyi) 當中的 Moplus SDK。 繼續閱讀

看片神器?! 以色情為號召的惡意程式威脅中國、台灣及日本 Android 使用者

2015 年 10 月 29 日2015 年 10 月 29 日趨勢科技 TrendMicro

「色情」永遠是個賣點，這一點對中國行動裝置威脅情勢來說真是再貼切不過。最近幾個星期，中國、日本和台灣的 Android 使用者不斷遭到以色情為號召的惡意程式攻擊。

這些惡意 App 程式都是經由假網站來散布，這些網站會利用一些熱門醜聞和外遇事件的關鍵字來毒化搜尋引擎。它們會假裝成色情影片網站，但全都會讓使用者裝置被植入各種不同的惡意 App 程式。這些以成人內容為誘餌的詐騙，讓我們想起多年前曾出現的單鍵付款詐騙 App。

趨勢科技發現了三個經由這類網站散布的惡意程式，它們都有相同的行為，也就是在使用者裝置上植入更多惡意 App 程式。這些程式會透過彈出式系統更新通知來推送至使用者裝置：

趨勢科技所偵測到的 AndroidOS_Souying.HRX 就是其中一個惡意程式，該程式內含漏洞攻擊程式碼，可攻擊多個核心驅動程式漏洞 (CVE-2012-6422、CVE-2013-2595 和 CVE-2014-2273) 來取得系統管理員權限。一旦取得權限，就能在系統上偷偷安裝其他惡意 App 程式。

不用多久，受害的裝置就會布滿各種惡意程式：

某些經由此方式植入的 App 會偽裝成色情影片，但其實是騙人的。

騙人的看片神器 繼續閱讀