標籤: Android 應用程式

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

趨勢科技 TrendMicro

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 繼續閱讀

最新「Ghost Push」變種宛若幽靈,暗中威脅Android 用戶,同一作者發行逾 600 惡意應用程式

趨勢科技 TrendMicro

Ghost Push 背後很可能是一個有組織的網路犯罪集團,因為他們對於惡意程式產業非常熟悉。除了 Ghost Push 之外,該集團到目前為止總共發行了 658 個非重複的惡意應用程式 (共 1,259 個不同版本),皆透過非官方應用程式商店流傳。其中,有一個惡意程式感染了 100,000 多個裝置;有兩個感染了 10,000 多個裝置;有七個感染了 1,000 多個裝置。

萬聖節還沒到,但 Android (安卓)使用者已經開始遭到幽靈騷擾,也就是 Ghost Push 惡意程式可以取得手機最高權限,並且下載有害的廣告和應用程式。它經常包裝在非官方應用程式商店下載的 App 中。Ghost Push可監控任何可能通知使用者的執行程序,因此可肆無忌憚地從事惡意活動。

Ghost Push 惡意行徑還包含:強制關閉手機 Wi-Fi 功能,改用行動數據連線來下載惡意程式、在螢幕開啟時啟動應用程式和廣告、竊取裝置上的個人資訊、更新已安裝的惡意應用程式等等。

手機 mobile

根據趨勢科技對 Ghost Push 的深入調查,其近期變種較先前版本更進化,會利用下列方式來讓它更難被偵測和移除:

  • 將其 APK 和 Shellcode (漏洞攻擊程式碼) 加密。
  • 直接執行惡意的 DEX 檔案 (Android 執行檔) 而不產生通知。
  • 加入了保護機制來監控其執行程序是否正常執行。
  • 將惡意程式的 .APK 檔案 (Android 應用程式安裝包) 重新命名。
  • 啟動新的系統活動。

目前網路上流傳的 Ghost Push 變種大約有 20 多個,以下是幾個已知會散布這些變種的網址:

  • {blocked}.{blocked}dn.com /testapk/[sample name].apk
  • {blocked}.{blocked}ecdn.com/testapk/[sample name].apk
  • {blocked}.{blocked}dn.com/testapk/[sample name].apk
  • {blocked}.{blocked}n.com:80/testapk/[sample name].apk

Ghost Push 從今年 4 月起即活躍至今,但 9 月份出現的變種數量明顯高於前幾個月。

圖 1:Ghost Push Android 惡意程式變種數量變化 (2015 年 4 月至今)。
圖 1:Ghost Push Android 惡意程式變種數量變化 (2015 年 4 月至今)。

繼續閱讀