誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!

目前,資安研究人員已 發現有超過 1,000 個應用程式感染了 SonicSpy 間諜程式 (趨勢科技命名為 ANDROIDOS_SONICSPY.HRX),這是一個可讓駭客操控 Android 裝置的惡意程式,而且至少有三個暗藏 SonicSpy 的應用程式曾經滲透到 Google Play 商店。

SonicSpy 是以熱門即時通訊軟體 Telegram 的開放原始碼為基礎所開發出來,其開放原始碼的用意就是希望讓大家能打造屬於自己的通訊平台。但 SonicSpy 卻在該軟體當中加入間諜與遠端遙控功能,然後換個名字將應用程式上架,例如:Soniac、Hulk Messenger、Troy Chat 等等。

目前感染 SonicSpy 的應用程式數量已超過  4,000 個,顯示 SonicSpy 背後應該有一個自動化開發流程。此外,資安研究人員也指出,這些間諜程式也會透過第三方應用程式市集和 網路釣魚簡訊來散布。網路釣魚簡訊 (稱為 SMS phishing 或 SMiShing) 同樣也是一種 網路釣魚攻擊 ,它會利用社交工程誘餌來誘騙簡訊接收者點選會下載惡意程式的連結。

[TrendLabs 資安部落格文章:Android 後門程式 GhostCtrl 可暗中錄音、錄影,而且還不只這樣…]

竊聽、偷拍、撥打高費率付費服務電話….SonicSpy 具備 73 種遠端遙控指令

SonicSpy 具備 73 種遠端遙控指令,其中包括:

  • 經由手機的麥克風來錄音。
  • 啟動手機的相機來拍照。
  • 對外撥打電話或發送簡訊到指定號碼,例如撥打高費率付費服務電話。
  • 讀取手機上的通話記錄、通訊錄名單以及 Wi-Fi 熱點清單。

Continue reading “誰偷打電話? Android用戶當心SonicSpy 間諜程式遠端控制你的手機!”

Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置

《Pokemon Go(精靈寶可夢)》手機遊戲在去年 7 月 6 日正式推出之後,沒過多久即出現一個夾帶木馬的冒牌版本,接著又出現鎖定螢幕程式,還會幫你偷偷點色情廣告的程式。

今年 7月在寶可夢週年慶祝活動盛大舉辦之際,趨勢科技發現到一款會假冒成偽裝成 Pokemon GO 寶可夢的Android App,被駭客鎖定放置惡意後門程式,以竊取裝置的帳號資料 還會暗中錄音竊聽。這款被命名為「GhostCtrl」的後門惡意程式,主要是針對 安卓 (Android )用戶,會假冒成如 Pokemon GO 、WhatsApp 等熱門應用程式或手機遊戲,誘騙使用者上鉤。

Snippets-FB

最近攻擊以色列醫院的 RETADUP 資訊竊盜蠕蟲其實出乎我們的意料,能造成的威脅還不只這樣 (至少就衝擊面來看是如此),它還會引來一個更危險的威脅,那就是可操控受害裝置的 Android 惡意程式-這就是趨勢科技命名為 GhostCtrl 的後門程式 (ANDROIDOS_GHOSTCTRL.OPS / ANDROIDOS_GHOSTCTRL.OPSA)。之所以如此命名,是因為它會暗中操控感染裝置的多項功能。

GhostCtrl 共有三種版本。第一版會竊取資訊並掌控裝置的特定功能,第二版會進一步操控更多功能,第三版則吸收了前兩版的優點之後再加入更多功能。從該程式的技巧演進情況來看,未來只會越來越厲害。

宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統

GhostCtrl 其實是 2015 年 11 月曾經登上媒體版面的 OmniRAT 這個商用多功能惡意程式平台的變種之一 (至少是以它為基礎)。它宣稱只要在 Android 裝置上透過觸控方式就能遠端遙控 Windows、Linux 和 Mac 系統。OmniRAT 套件的終生授權版價格約在 25 至 75 美元之間。不意外地,各大地下論壇到處充斥著使用 OmniRAT 工具的駭客教學,有些人甚至還幫它開發了一些修補程式。

事實上,有一個特徵可以看出這個 APK 的確是從 OmniRAT 衍生而來 (請看下圖),由於這是一個 RAT 服務,因此這一點其實可以在程式編譯的時候修改 (或移除)。

 

 

圖 1:從 GhostCtrl 第 3 版的資源檔 resources.arsc 中可看出它是衍生自 OmniRAT 的變種 (請看標示處)。

GhostCtrl 偽裝成一般正常或熱門的應用程式,比如 whatsappPokemon GO

此惡意程式會偽裝成一般正常或熱門的應用程式,名稱大多叫做 App、MMS、whatsapp,甚至是 Pokemon GO。當應用程式啟動時,它會從資源檔解開一個 base64 編碼的字串並寫入磁碟,這其實就是惡意 Android 應用程式套件 (APK)。

這個惡意 APK 會由另外一個負責包覆的外層 APK 來動態點選它,然後要求使用者安裝它。這程式非常難纏,就算使用者在要求安裝的頁面上點選「取消」,訊息還是會馬上又出現。此惡意 APK 沒有圖示。安裝到裝置之後,外層 APK 會啟動一個服務來讓主要惡意 APK 在背景執行:

 


圖 2:外層 APK 負責解開主要 APK。

主要 APK 具備了後門功能,而且通常取名為「com.android.engine」來讓使用者誤以為是一個正常的系統應用程式。接下來,惡意 APK 會連線至幕後操縱 (C&C) 伺服器來接收指令,透過「new Socket(hefklife.ddns.net”, 3176)」的方式來建立連線。

GhostCtrl 可隨心所欲操控受感染的裝置,使用者毫不知情

來自 C&C 伺服器的指令會經過加密,APK 在收到之後會自行解密。有趣的是,趨勢科技也發現此後門程式在連線時會使用網域名稱,而非 C&C 伺服器的 IP 位址,這有可能是為了隱藏通訊。此外我們也發現有多個網域都曾經指向同一個 C&C IP 位址:

  • hef–ddns.net
  • f–ddns.net
  • no-ip.biz
  • no-ip.biz

值得注意的是,指令中可包含動作代碼和物件資料,駭客可透過這方式來指定攻擊目標和攻擊內容,因此這個惡意程式對犯罪集團來說非常彈性。該指令可讓駭客暗中操縱裝置的功能,讓使用者毫不知情。

以下是一些動作代碼和其對應的動作:

  • 動作代碼 = 10、11:操控 Wi-Fi 狀態。
  • 動作代碼 = 34:監控手機各感應器的即時資料。
  • 動作代碼 = 37:設定手機使用介面模式,如夜晚模式/車用模式。
  • 動作代碼 = 41:操控震動功能,包括振動方式和時機。
  • 動作代碼 = 46:下載圖片來當成桌布。
  • 動作代碼 = 48:列出當前目錄中的檔案清單並上傳至 C&C 伺服器。
  • 動作代碼 = 49:刪除指定目錄中的檔案。
  • 動作代碼 = 50:重新命名指定目錄中的檔案。
  • 動作代碼 = 51:上傳某個想要的檔案至 C&C 伺服器。
  • 動作代碼 = 52:建立一個指定的目錄。
  • 動作代碼 = 60:使用文字轉語音功能 (將文字轉成音訊)。
  • 動作代碼 = 62:傳送 SMS/MMS 簡訊至駭客指定的號碼;內容可自訂。
  • 動作代碼 = 68:刪除瀏覽器歷史記錄。
  • 動作代碼 = 70:刪除 SMS 簡訊。
  • 動作代碼 = 74:下載檔案。
  • 動作代碼 = 75:撥打駭客指定的電話號碼。
  • 動作代碼 = 77:打開活動檢視應用程式,駭客可指定統一資源識別碼 (Uniform Resource Identifier,簡稱 URI),如:開啟瀏覽器、地圖、撥號的檢視等等。
  • 動作代碼 = 78:操控系統的紅外線發射器。
  • 動作代碼 = 79:執行駭客指定的指令列命令,並上傳輸出結果。

蒐集並上傳通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤

還有一個特別的 C&C 指令是一個整數指令,用於竊取裝置的資料,包括蒐集並上傳各種對網路犯罪集團有價值的敏感資訊,如:通話記錄、簡訊記錄、通訊錄、電話號碼、SIM 卡序號、地理位置、瀏覽器書籤等等。

 

 

 

 

Continue reading “Android 後門程式 GhostCtrl ,可暗中錄音、錄影,還可隨心所欲操控受感染的裝置”

假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶

繼淘寶上出現「高仿版」的WannaCry 病毒,售價10 人民幣之後,上個月稍早,趨勢科技發現手機勒索病毒 Ransomware (勒索軟體/綁架病毒)「SLocker」出現了一個新的變種 (趨勢科技命名為:ANDROIDOS_SLOCKER.OPST),其畫面很像之前肆虐全球的WannaCry(想哭)勒索蠕蟲勒索病毒。SLocker 家族基本上是最古老的手機勒索病毒之一,會鎖定裝置畫面並加密檔案,而且還會假冒執法機關的名義恐嚇受害者,讓受害者乖乖付錢。該病毒在沉寂了多年之後,突然在今年五月重出江湖。這次的 SLocker 變種基本上是一個針對 Android 平台的檔案加密勒索病毒 。

不過,雖然這個 SLocker 變種可將手機上的檔案加密,但卻沒有肆虐多久。因為,就在該病毒的詳細手法被公開之後,不久便出現針對該病毒的解密工具,為此該病毒也隨即推出更多變種。然而在該病毒首度被發現後的五天,一名疑似其作者的駭客即被中國公安逮捕。由於該病毒散布的管道有限 (大多經由 QQ 群和 BBS 系統之類的網路論壇散播),因此受害者數量非常稀少。

圖 1:此勒索病毒相關的時間點。

 

趨勢科技最早取得的樣本是假冒成《王者榮耀》遊戲的作弊程式,叫做「王者荣耀辅助」。在安裝之後,其畫面長得很像 WannaCry 病毒,但這已經不是第一次該病毒出現仿冒者

第一個模仿 WannaCry 的手機勒索病毒

圖 2:第一個模仿 WannaCry 的手機勒索病毒。

Continue reading “假冒《王者榮耀》作弊程式,山寨版 WannaCry 病毒,盯上 Android 用戶”

安全達人推出新功能 「相片安心鎖」加密照片讓您安心

女星裸照外流事件層出不窮引發新聞媒體爭相報導,然而這只是冰山一角,新聞媒體沒有報導的是,私密照外洩其實也讓為數眾多的受害者留下心中一輩子的痛。根據婦女救援基金會調查顯示,絕大多數的裸照威脅事件都發生於配偶/伴侶/男女朋友間,因雙方分手或關係絕裂時,持有性私密影像之一方基於威脅、報復、毀損對方名譽、而加以散佈,而這又稱之為「復仇式色情」。

「復仇式色情」是一種性別暴力的犯罪行為,婦女救援基金會提供多種聯繫管道,包括專線電話、信件留言及線上通話系統。而趨勢科技想從技術面幫助用戶從根本解決問題,研發出安全達人的新功能「相片安心鎖」,希望藉由從手機加密照片的機制,阻止私密照外流。讓我們一起來試用新功能吧!

 

首先點入程式中的「相片安心鎖」。

接著會列出所有手機內部的照片。

 

Continue reading “安全達人推出新功能 「相片安心鎖」加密照片讓您安心”

Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次

趨勢科技發現一個 Trojan Android 廣告木馬程式 Xavier (趨勢科技偵測到為 ANDROIDOS_XAVIER.AXM),會偷偷竊取或洩漏使用者的資訊,只要下載並開啟中毒的APP極有可能在不自知的情況下,個資全被傳送出去。依據趨勢科技行動裝置應用程式信譽評等偵測顯示,共有 800 多種內嵌廣告木馬程式 SDK 的應用程式,在 Google Play 已被下載數百萬次。這些應用程式涵蓋工具應用程式,例如照片編輯應用程式、桌布與鈴聲變更程式。Xavier 有一套自我保護機制,試圖保護自己免受偵測,此外也會下載和執行其他惡意程式碼。

 

 

 

 

 

駭客利用Xavier蒐集被感染裝置的SIM卡資訊、手機型號、語言、已安裝的應用程式、Android ID、電子郵件地址….等資訊,然後將資訊加密並傳送到遠端伺服器。大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

如何防範 Xavier?

  • 避免下載與安裝來源不明的應用程式,即使這些應用程式是來自 Google Play 等合法應用程式市集
  • 閱讀已下載該應用程式之其他使用者的評論。
  • 更新或修補行動裝置,有助於阻擋鎖定漏洞的惡意程式。
  • 一般用戶可以安裝趨勢科技行動安全防護,即刻免費體驗
  • 企業也可以採取趨勢科技 Android 版行動安全防護
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。
大多數下載遭Xavier感染 App的用戶,來自東南亞,例如越南、菲律賓和印尼,台灣下載量為 5.36%。

雖然趨勢科技之前已發現過惡意廣告木馬程式 MDash SDK,但這款木馬程式的部分特性與之前的廣告木馬程式有所不同。首先,這款木馬程式內嵌惡意行為,會下載遠端伺服器的程式碼,然後載入並執行。接著,它會透過字串加密、網際網路資料加密以及模擬器偵測等方法,試圖保護自己免受偵測。

由於 Xavier 具有這類自我保護機制,可以規避靜態與動態的分析,因此很難偵測出它的竊取和洩漏能力。此外,Xavier 也會下載和執行其他惡意程式碼,並可能造成比惡意程式更危險的後果。Xavier 的行為取決於由遠端伺服器設定的下載程式碼和程式碼 URL 而定。 Continue reading “Android用戶注意! 800多個內嵌Xavier 廣告木馬 App,已被下載數百萬次”

木馬程式不當取得用戶個資 Android裝置又有惡意程式

趨勢科技資安團隊偵測Android平台時發現廣告木馬程式Xavier內嵌在逾800個手機App中,全數共累積數百萬人次下載,並利用這些App暗中竊取用戶個資。

駭客利用Xavier蒐集和洩漏用戶的裝置資料,硬體面包括製造商、SIM卡製造商、產品名稱裝置ID等,個人化設定像是裝置名稱、使用語言、作業系統版本、已安裝應用程式、Google Play帳號,以及最常使用的電子郵件地址等。除了盜取資訊外,資訊攻擊已進化到讓駭客可以遠端鎖定你的行動裝置並安裝其他應用程式套至裝置內部,造成用戶難以察覺中毒。大多數下載遭Xavier感染App的用戶,都來自東南亞國家。 Continue reading “木馬程式不當取得用戶個資 Android裝置又有惡意程式”

Android 行動裝置威脅:Root 改機惡意程式和漏洞攻擊,隨著漏洞數量增加而趁勢崛起

趨勢科技 2016 年所攔截到6,500 萬行動裝置威脅,截至 2016 年 12 月為止,我們所蒐集和分析的非重複 Android 惡意程式樣本總數高達 1,920 萬,較 2015 年的 1,070 萬有著飛躍性成長。

就全球來看,目前最普遍的是漏洞攻擊和惡意的 Root 改機程式 。 

根據趨勢科技 Mobile App Reputation Service (MARS) 行動裝置應用程式信譽評等服務,以及 Smart Protection Network™ 全球威脅情報網的統計,2016 年,我們發現了超過 30 個 Android 系統漏洞並通報給 Google 和 Qualcomm。這些資安漏洞分散在 Android 的系統架構、裝置驅動程式以及 Linux 核心。其中有五項是重大漏洞,可能讓駭客取得本地端系統權限 (root) 或者從遠端執行程式碼。在我們所發現的漏洞當中,有 10 個以上可用來駭入系統執行程序,或者用於駭入系統核心。例如,核心加密引擎重大漏洞 (CVE-2016-8418) 可能讓駭客從遠端執行程式碼 (遠端 root 權限)。此外我們也通報了一系列有關 Android 效能系統模組的重大漏洞,可能讓駭客入侵系統核心。而 Android 系統也因為我們和 Google 的合作而增加了一些額外的安全機制

其他 2016 年揭露較大的 Android 漏洞與漏洞攻擊還有  Dirty COW  (CVE-2016-5195)、Rowhammer (CVE-2016-6728)、Drammer 以及 Quadrooter,全都可能讓駭客取得裝置的系統管理 (root) 權限。

隨著更多資安漏洞被發現,Root 改機惡意程式與漏洞攻擊也因此擁有更多的攻擊管道。CVE-2015-1805 就是一個被收錄到 Kingroot 改機程式當中的漏洞,該程式的下載量已高達 2.9 億次。當該程式的原始碼在網路上公開之後,該程式即不斷出現在各種攻擊當中。至於 Godless (ANDROIDOS_GODLESS.HRX) 則是 使用一個開放原始碼 Root 改機套件,該套件收錄了多種漏洞攻擊程式碼。截至六月為止,已有超過 850,000 台 Android 裝置受害,目前已有超過 79,780 個變種在網路上流傳。

另外還有 Ghost Push,其漏洞攻擊程式碼經常暗藏在 Google Play 商店的一些應用程式當中,目前已有 4,383 個變種在網路上流傳。LibSkin (ANDROIDOS_LIBSKIN.A) 首次出現是在 2016 年 2 月,目前已有 1,163 個變種,它會對受害的裝置進行改機 (Root),並偷偷下載及安裝其他應用程式,同時竊取使用者的資料。

有關 2016 年最猖獗的 Android 行動惡意程式 (根據趨勢科技偵測數據) 以及趨勢科技 2016 年所揭露的完整 Android 和 iOS/macOS 漏洞清單,請參考這份文件的「附錄」一節。

 

原文出處:In Review: 2016’s Mobile Threat Landscape Brings Diversity, Scale, and Scope

 

五大行動裝置勒索病毒家族,成長率屢創新高

行動裝置勒索病毒在 2016 年大爆發,光我們 2016 年第四季所蒐集分析的樣本數量就是 2015 年同期的三倍。但儘管數量驚人,這些惡意程式的犯罪模式卻大同小異:濫用、誘騙、恐嚇、勒索。其中絕大部分都是濫用 Android 作業系統功能的螢幕鎖定程式,以及運用社交工程(social engineering )技巧的偽系統更新、偽熱門遊戲與色情內容。這些程式會誘騙不知情使用者提供系統權限,進而修改裝置鎖定畫面的密碼,讓使用者無法將它解除安裝。            

圖 3:行動裝置勒索病毒樣本數量比較 (2015 年與 2016 年)。

根據f趨勢科技的偵測和分析, 行動勒索病毒大致可歸納出下列五大家族:

  1. SMSLocker (ANDROIDOS_SMSLOCKER)Svpeng (ANDROIDOS_SVPENG)
    SMSLocker(偵測為ANDROIDOS_SLOCKER或ANDROIDOS_SMSLOCKER)是現今Android勒索病毒的開端。最初它沒有使用加密技術,只是將目標檔案隱藏起來。2015年的版本會用根據設備產生的金鑰加密,所以很難去製作通用的解鎖工具。它主要利用簡訊進行命令和控制(C&C)通訊;有些變種會使用Tor。SLocker對行動勒索病毒最大的改變是使用Android UI API來鎖住設備螢幕。這是我們第一次看到惡意軟體利用此技術來控制設備
  2. Svpeng
    SMSLocker (SLocker 其中一代) 和 Svpeng 則是專門假冒網路銀行程式的木馬程式,歹徒會經由幕後操縱 (C&C) 指令來將裝置鎖住並勒索贖金。
    2016 年最受矚目的Svpeng (銀行木馬程式與勒索病毒的合體),在我們所發現的銀行木馬感染與攻擊案例當中,約有 67% 都是 Svpeng。
    2016 年 9 月是 Svpeng 出現的高峰期,偵測數量高達 80,000 以上。Svpeng 會竊取手機上的簡訊、通訊錄、通話記錄以及瀏覽器歷程記錄,同時還會利用網路釣魚手法騙取使用者的信用卡資料,並且會鎖定裝置畫面,然後勒索贖金。由於 Svpeng 主要以俄羅斯的銀行為目標,因此受害最深的自然是俄文的使用者,尤以俄羅斯、烏克蘭和羅馬尼亞最為嚴重。
  3. FLocker/Frantic Locker (ANDROIDOS_FLOCKER)
    FLocker 在 2016 年第一季末首度現身,能跨界感染智慧型電視,並於 2016 年不斷肆虐日本,該地在四月份所偵測到的 FLocker 樣本數量超過 32,000 個以上。
  4. SLocker/Simple Locker (ANDROIDOS_SLOCKER)
    2016 年 8 月,某個 SLocker 變種 (AndroidOS_Slocker.AXBDA) 在印尼大量散布,該國在這段期間出現了大量的假音樂視訊播放程式。
  5. Koler (ANDROIDOS_KOLER)
    SLocker 和 Koler 已知會假冒司法機關,宣稱受害者觸犯了某種法律,藉此脅迫他們支付一筆贖金。

 

Continue reading “五大行動裝置勒索病毒家族,成長率屢創新高”

用 KGDB 來替 Android 除錯的實用技巧

內核(Kernel)除錯功能讓資安研究人員在進行分析時能夠監視和控制設備。在Windows、macOS和Linux等桌面平台上,這很容易進行。但要在Android設備(如Google Nexus 6P)上進行內核除錯則困難得多。在本文中,將介紹一種在Nexus 6P和Google Pixel上進行內核除錯的方法而無須特製的硬體。

Joshua J. Drake和Ryan Smith為此目的打造了一條UART除錯線,效果很好。然而對於不擅長製作硬體的人(像是筆者這樣的軟體工程師)來說,這可能很困難。而替代方案是透過serial-over-usb通道來進行內核(Kernel)除錯 也是可行的。

這個方法可以追溯到2010年,這表示部分介紹已經過時。但我發現的作法可以利用其關鍵要點,然後用在今日的Android設備上。讓研究人員可以使用除錯功能來確認CPU執行的當前狀態,讓分析更加快速。那該如何進行?

Android是用Linux內核打造的,其中包含了內建的內核除錯程式KGDB。KGDB依靠串列埠來連接除錯設備和目標設備。正常情況如下:

圖1、KGDB工作模式

 

目標和除錯設備透過串列線連接。使用者在除錯機上用GDB來附加串列設備檔案(如/dev/ttyS1),指令是target remote /dev/ttyS1。之後,GDB可以通過串列線和目標設備上的KGDB進行溝通。

KGDB核心元件處理實際的除錯工作,像是設置中斷點和取得記憶體內的資料。KGDB I/O元件可以連接KGDB核心元件和低階串列驅動程式以處理除錯資訊傳輸。 Continue reading “用 KGDB 來替 Android 除錯的實用技巧”