Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

Android Market 上的詐騙越來越多。上星期,趨勢科技談到有一家開發廠商利用常見的應用程式名稱誘騙使用者下載了假冒的程式。在那之前,趨勢科技也在 Android Market 上發現過一個假冒的 Temple Run 應用程式。這一次,我們又發現了 37 個出現類似行為的應用程式。這些是所謂的「粉絲應用程式」(Fan App),也就是說,這些並非由原廠商所開發。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

光是瀏覽這些粉絲應用程式的網頁,趨勢科技就發現了一些奇怪的現象。其開發廠商的網站連結指向的是一些無效的網址,例如某個 .com 網站,一個拼錯字的 Google 網域 (拼成了 googel.com)。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

另一項引起趨勢科技注意的是,所有上述應用程式的畫面抓圖都相同。這些應用程式一旦安裝,就會強迫使用者將它分享到 Facebook (如果有安裝) 並且在 Android Market 上給予評分。此外,它還會不斷透過通知訊息來顯示廣告,並且在受感染裝置的首頁上建立捷徑。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

不過,更嚴重的問題是,這些應用程式會將一些敏感資訊傳送到某個遠端伺服器。傳送的資訊內容包括:作業系統版本、國際行動設備識別碼 (International Mobile Equipment Identity,簡稱 IMEI) 以及電話號碼等等。這些應用程式一旦執行,上述資訊就會立即傳送到遠端伺服器。

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

程式提供了一個關閉廣告的選項。但使用者很可能會錯過或忽略,因為這個選項藏在網站上的應用程式說明頁面。

 

千萬別忽略謝絕打擾的選項

趨勢科技在幾天主動將這些應用程式向 Google 通報。他們的反應很快,立即將這些程式從 Android Market 下架。

然而,從 Android Market 下架並無法完全消除這些應用程式的威脅。網路犯罪者依然會將他們上傳至其他網站,例如第三方應用程式商店、論壇等等。不過,不論網路犯罪者將它們上傳到哪裡,趨勢科技都能偵測出這個 ANDROIDOS_FAKEAPP.SM假冒程式。

很顯然地,在應用程式當中插入頻繁廣告的手法,尤其是與透過搜尋引擎賺錢的相關手段,短期之內應該不會消失。因此,使用者在安裝應用程式時最好提高警覺。如要閱讀更多有關這方面的內容,請參閱我們先前的部落格文章:手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技已經能夠防範這項威脅。不過,使用者教育對於防止行動裝置遭到類似攻擊依然非常重要。如需更多關於行動裝置威脅以及如何保護行動裝置安全的資訊,請至我們的行動裝置威脅資訊站 (Mobile Threat Information Hub)

@原文來源:“Fan Apps” Now Spreading on the Android Market作者:Kervin Alintanahin (威脅分析師)

@延伸閱讀:
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式
惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務
保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

 

 

◎ 歡迎加入趨勢科技社群網站

家有宅童必備六個自保小絕招

 

電玩與線上遊戲夯,卻可能是戕害孩子成長的隱形殺手!行動裝置遊戲 與線上遊戲在近年掀起巨大風潮,更成為台灣家庭的另類保母,但這樣的「科技保母」造成孩子注意力不集中,形成電玩或網路成癮症,更可能讓孩子成為網路霸凌的對象!根據趨勢科技的調查,近1/3的青少年曾於上網時遭受過網路霸凌,更有13%表示曾接收過威脅訊息或成為網路謠言散播的受害者。長期關心兒童網路安全的趨勢科技從資安專家的角度出發,提供六大秘訣,有效確保孩子能夠安全遊玩而不會成為網路霸凌的犧牲者。

根據兒福聯盟的最新調查,台灣幾乎所有家庭都有電玩、遊戲3C產品,超過20%的兒童每天與這些產品相處1-3個小時;電玩與遊戲產品對台灣兒童更有致命的吸引力,高達90%以上的台灣孩子都曾主動要求玩相關產品[1]。電玩、3C遊戲產品與線上遊戲雖可引起孩童適度的愉悅感,但您知道嗎?根據趨勢科技調查顯示,有近1/3 的青少年曾是網路霸凌的受害者,電玩、3C與線上遊戲既是現代孩童與青少年不可或缺的生活元素,但要如何讓孩子能玩的開心、健康,相信是現代繁忙家長們最頭痛的問題之一。趨勢科技特別從資訊安全專家的角度出發,提供家長六大秘訣,防範來自3C電玩與線上遊戲的威脅:

 

任何曾經試圖打斷小孩玩憤怒鳥 (Angry Birds) 或農場鄉村 (Farmville) 的家長都會發現兒童對於行動裝置遊戲和線上遊戲有多麼著迷。

以下是一些讓您確保孩子能夠安全遊玩而不會遭到霸凌、下載到病毒或者將生活預算浪費在遊戲上的方法。

 

1.       電玩主機放在公共空間,共同參與。
將電玩主機放在家中的公共空間,或者在孩子使用時待在旁邊。如果是多人對戰遊戲,您甚至可以一起加入,說不定您也會發現樂趣,但更重要的是,您會更了解孩子在迷些什麼。
 

2.       使用電玩主機內建的家長監護功能。
電玩主機通常會具備家長監護功能,讓您防止孩童玩到不適合其年齡的遊戲。此外,您也可以限制遊戲的時間及遊戲對象。

3.       教孩子網路代號也不應透露其年齡、性別或地點。
您的孩子不應將自己的住址或就讀學校告訴從未謀面的線上朋友。同樣地,孩子的網路代號也不應透露其年齡、性別或地點。  繼續閱讀

《 趨勢專家看雲端運算》網格雲端儲存:更便宜,更可靠,但是安全性如何?

作者:趨勢科技雲端安全副總裁Dave Asprey

 看看SHYPERLINK,他們是網格雲架構進化的真實例子。他們每GB的儲存成本甚至比iCloud都還要少上一個量級,這是下一個最有效率的雲端儲存產品(至少在某些類型的檔案上更有效率,像是音樂)。

 Symform的總部位在西雅圖,但它不像Amazon或是Google一樣依賴著西北太平洋邊上的水力發電資料中心。Symform組成了一個網格雲,可以利用他們客戶的本地磁碟來儲存。

 

當我還是Trinity Ventures負責雲端與虛擬化技術的駐點創業家(Entrepreneur in residence)時,我看到Symform募集資金的提案(還是來自他們的競爭對手…)。當時我很感興趣也有想要去投資他們,因為這種作法可以大量的節省服務提供成本。不過我們(更有經驗)的創投公司合夥人卻不看好,因為擔心消費者會對於分享自己的硬碟跟(加密過的)資料覺得不大穩當。

 

以下是Symform的運作模式:

 

  • 首先要安裝Symform軟體
  • 從你的電腦出來的資料會被切成每塊64MB的大小,每一塊都會用256位元的AES來加密。
  • 每個64 MB區塊都被打破成1MB的小塊
  • 每一組的64個小塊都會分配檢查碼,分段的方式就跟磁碟陣列的作法是一樣的(這會增加50%的資料大小,但也讓它變成高度可用性)
  • 產生出來的96個分段(每個1 MB)會分散儲存在其他的Symform客戶電腦上,在今天主要集中在美國和歐洲

 

當你從雲端要求資料時,它就會從所儲存的各個地方取回。如果有些機器無法存取,就會利用檢查碼來重建資料,這也造就了一個非常高冗餘的儲存模式。這種資料是你無法到資料中心去刪除的。

 

最酷的事情是,這樣一來集中式資料中心的使用量趨近於零,這也意味著服務成本是驚人的低,和舊式的集中式雲端儲存技術像DropboxBox.net比其來,幾乎低到了不可思議的地步。Symform對於前200GB的儲存量並不收費。這是Dropbox所免費提供的2GB的100倍。做到100倍的容量差異絕對是顛覆性的技術,這也是為什麼我相信網格雲會破壞掉集中式雲端技術,讓我們以一個雲端架構的口頭禪當成結語:

 

如果可以就分散它

必要的時候才集中它

一切集中控管。

  繼續閱讀

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

去年,資訊安全廠商接獲一連關於「Nitro Attack」 此 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)通報。它所採用的後門程式為 PoisonIvy,亦稱 BKDR_POISON。網路上可以找到此後門程式的產生器。當時,資訊安全場商已採取反制措施來協助客戶對抗這項威脅並防範未來類似的感染。但是,從最近發現的一些匿蹤機制來看,對抗該惡意程式的戰鬥尚未結束。

趨勢科技第一次分析這個惡意下載程式時,原本以為它沒有什麼驚人之處。它是一個由 Visual Basic 編譯出來的執行檔案,所做的事情不過就是透過 HTTP GET 來開啟某個 HTML 網頁。

APT 攻擊-BKDR_POISON:未來將出現更多挑戰
APT 攻擊-BKDR_POISON:未來將出現更多挑戰

趨勢科技透過瀏覽器連上該網頁時,表面上看起來也是一個無害的網頁,但是經過詳細解碼之後裡面卻大有文章。

如同微軟所指出,此惡意下載程式有別於其他程式。它不會下載二進位檔案來執行,但它會執行已下載檔案當中看似無害的一些代碼。要達成此目的,惡意程式會將文字內容轉成可執行的程式碼,然後呼叫 DllFunctionCall 來執行。

BKDR_POISON:未來將出現更多挑戰

而它所執行的程式碼其實就是 BKDR_POISON 惡意程式家族的變種,此惡意程式家族涉及了去年多起鎖定特定目標攻擊。

BKDR_POISON 背景簡介

BKDR_POISON 惡意程式家族亦稱為 PoisonIvy (毒藤),已經在網路上肆瘧多年。原因是它的產生器很容易使用,而且可從其網站免費下載。其自動啟用機制以及 mutex 和惡意檔案名稱皆可透過產生器輕易設定,因此,每一個產生出來的樣本,其行為可能不盡相同。

BKDR_POISON 的後門程式功能包括:鍵盤側錄、聲音/影像側錄、畫面擷取、處理程序和服務管理,檔案存取或上傳、以及其他等等。簡而言之,它基本上可讓其使用者完全存取受感染的系統。

此外,BKDR_POISON 也很容易整合至其他惡意程式,因為其後門程式產生器也提供了選項讓使用者產生一段 shellcode 攻擊程式碼,而非完整的執行檔。

在前述的 Nitro Attack 惡意下載程式案例中,一旦它執行了 BKDR_POISON 的 shellcode,就能因而繼承其後門程式特性。

由於 shellcode 不像獨立的二進位執行檔可單獨偵測並分析,它必須和繼承其特性的執行檔一併分析才看得出端倪。因此,資訊安全研究人員若沒有拿到配對的 shellcode 和執行檔 (例如,執行檔經過加密或隱藏),那麼很可能就不會偵測到 shellcode。

繼續閱讀

趨勢科技宣布開放間諜程式防護軟體Hijack This 原始碼

獲得該程式原作者 Merijn Bellekom 背書 廣受各大知名線上論壇好評

【2012 年 2 月 22日 台北訊】全球雲端安全領導廠商趨勢科技 (東京證券交易所股票代碼:TYO: 4704) 今天宣布釋出HijackThis作為開放原始碼應用程式。趨勢科技此舉獲得Hijack This原作者 Merijn Bellekom背書並廣獲各大知名資安論壇與討論區好評。 HijackThis程式原始碼以 Visual Basic 撰寫,現在已正式公布於以下網址:https://sourceforge.net/projects/hjt/

趨勢科技自 2007 年買下由荷蘭資訊安全高手 Merijn Bellekom發明的「 HijackThis」 間諜程式防護軟體後,便以免費下載的方式提供給大眾。截至今日,該程式已累積超過一千萬次下載,亦為 Castlecops.com、Majorgeeks.com 與 Spywareinfo.com 等知名線上討論區及論壇的常用工具。

HijackThis [1]可分析使用者電腦系統設定是否曾經受間諜程式、惡意程式或其他不肖程式侵入與修改。其產出深度報表的功能,可協助資訊安全專業人員修復受感染的電腦。許多資訊安全社群都使用 HijackThis 記錄檔功能,協助使用者判斷電腦是否受感染並協助其移除遭感染的檔案。HijackThis 產生的記錄檔可作為一般入門使用者於論壇討論並尋求協助的資訊。

趨勢科技開放原始碼 展捍衛資訊安全決心 廣獲專業論壇好評

Hijack This原作者 Merijn Bellekom表示:「Hijack This原始碼的公佈提供大眾一個開發專屬個人的惡意程式防護工具的基礎。」 繼續閱讀