手電筒應用程式顯示:"你感染病毒導致電池損壞"是惡意廣告

 

並非所有 Android 手機的作業系統都內建手電筒功能。有時候,使用者必須自行下載手電筒程式到手機上才能擁有此功能。但這類應用程式經常含有廣告,並且會不斷更新。想像一下,手電筒程式一直不斷更新廣告是什麼情況。儘管現在很多程式都是這樣,但 Google Play 商店上卻出現一個會顯示惡意廣告的手電筒程式,不僅為使用者帶來困擾,更會欺騙使用者說他們的手機感染了病毒。

這就是 Super-Bright LED Flashlight 程式,儘管這程式本身是安全的,但當使用者執行程式時,卻會開啟一個網頁告訴使用者他們的裝置已經感染了病毒,並且電池已損壞。該網頁還建議使用者安裝一個 Android 最佳化及防毒程式來解決這些問題。經過趨勢科技的研究發現,這惡意廣告並非程式本身所為。

圖 1:應用程式執行時顯示的警告視窗。

 

趨勢科技已將 Super-Bright LED Flashlight 惡意程式命名為:AndroidOS_FlightAd.A。在該程式的下載畫面上可看到它已累積了 6 百萬人次下載。然而這明目張膽的騙人廣告受害者不光只有使用者而已,應用程式本身也是受害者。目前已經有使用者出面指控這項問題,並且給予該程式極差的評價及負面評論。 Continue reading “手電筒應用程式顯示:"你感染病毒導致電池損壞"是惡意廣告"

一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞,攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式(佔 Google Play上所有應用程式的5.6%)都可能受此漏洞影響。

pache Cordova

該漏洞被存在於Cordova的一個功能內,讓Secondary Configuration Variables(也就是偏好設定)可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新(也就是Github的提交)的一部分,Cordova Android也更新為0.9.3。

我們的研究顯示,如果Base Activity沒有被適當的防護且偏好設定設成預設值,攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞:

  • 應用程式至少有一個元件延伸自Cordova的Base Activity:CordovaActivity或設定Cordova框架(像java)沒有被適當的防護,也就是說可以被應用程式外部存取。
  • 至少一個Cordova支援的偏好設定(除了LogLevel的和ErrorUrl)未在設定檔案(xml)中被定義。

 

它如何運作

要了解該漏洞如何運作,要先來看看應用程式的偏好設定如何設置。 Continue reading “一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)"

一鍵就會讓歹徒篡改Android App程式!

趨勢科技發現Apache Cordova 應用程式架構的一個漏洞,可能導致使用者只點選了一個網址、就遭歹徒篡改Android裝置上的App,不僅使用App時被干擾如完全當掉無法使用,數以千計的Apache Cordova第三方外掛程式也同樣有危險!趨勢科技呼籲Android應用程式開發人員,應立即將自己的Cordova開發套件升級至最新版本,並重新製作一份新版App,以防遭歹徒攻擊。趨勢科技的Smart Home Network解決方案已可以協助防堵此問題。

Android 病毒

 

趨勢科技資深技術顧問簡勝財表示:「此問題已被趨勢科技列為高嚴重性問題,Apache Cordova 4.0.1 以前的所有版本都在影響之列,日前Apache也已經發布一份安全公告證實了這項漏洞。根據我們的研究顯示,若程式的Base Activity設定沒有受到適當的保護,而且偏好設定又使用預設值的話,那麼使用者就可能因為開啟程式內的一個網頁、或是已經植入手機的惡意程式,被修改這些偏好設定,進而改變App的外觀和運作方式。絕大多數以Cordova 為基礎所開發的App程式,都可能因為這個漏洞而遭到攻擊。」

簡勝財指出,使用 Cordova 開發的 App 程式和使用者可能受到下列影響:

  1. 程式外觀遭到篡改
  2. 遭人篡改彈出視窗和文字內容
  3. 遭人篡改程式開啟畫面
  4. 基本功能被篡改
  5. 程式當掉

Continue reading “一鍵就會讓歹徒篡改Android App程式!"

應用程式內不正常的AndroidManifest.xml可能導致手機崩潰

每個Android應用程式都包含了數個元件,其中一個稱為AndroidManifest.xml或Manifest配置文件。這個檔案中包含了應用程式的基本資訊,是系統執行應用程式程式碼必須要有的資料。我們發現一個和此檔案相關的漏洞,可能會導致受影響手機陷入重新啟動的無限迴圈,讓手機變得無法使用。

 

手機病毒aNDROID

Manifest資源配置文件漏洞

這個漏洞會透過兩種不同的方式導致作業系統崩潰。

第一種牽涉到超長字串和記憶體分配。一些應用程式可能會使用DTD技術(文件類型定義,Document Type Definition)在其XML檔中包含了超長字串。當此字串被分配給AndroidManifest.xml的標籤(如權限名稱、label、活動(Activity)名稱)引用時,PackageParser會需要記憶體來解析這XML檔。然而,如果它需要的記憶體比可使用的還多時,PackageParser會崩潰。這會觸發連鎖反應,讓所有正在執行的服務停止,整個系統會因此重新開機。

第二種方法牽涉到APK檔和intent-filter,它用來宣告服務或活動(Activity)可以做的事情。如果Manifest資源配置文件內包含一個活動(Activity)帶有這此intent-filter定義,會在桌面建立一個圖示:

 

<intent-filter>

        <action android:name=”android.intent.action.MAIN”/>

        <category android:name=”android.intent.category.LAUNCHER”/>

 </intent-filter>

 

如果有許多活動(Activity)用此intent-filter定義,在安裝後會建立相同數量的圖示在主畫面中。如果數量太多。這APK檔 就會導致重新開機迴圈。

如果活動(Activity)的數量大於10,000:

 

  • 在Android 4.4上,桌面管理程序會進行重開機。
  • 在Android L上,PackageParser會崩潰和重開機。不正常的APK檔會被安裝,但不會顯示圖示。

 

如果活動(Activity)的數量超過100,000,手機會陷入重新開機迴圈。 Continue reading “應用程式內不正常的AndroidManifest.xml可能導致手機崩潰"

12個最常被濫用的Android應用程式權限

Android應用程式需要權限才能正常運作。不過網路犯罪分子會將其用在個人私利上。來看看最常被要求的權限以及它們會如何被濫用。

Android 病毒

 

  1. 網路定位功能
    圖片來源:Evan-Amos / Wikimedia Commons / Public Domain

這代表什麼:允許應用程式透過網路定位(像是基地台或無線網路)來取得大概位置。應用程式開發人員可以用它從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來發動基於位置的攻擊或惡意軟體。比方說,網路犯罪分子可以將俄羅斯的行動使用者導到惡意俄文網站。

需要此權限的應用程式:位置相關應用程式,打卡應用程式

 

  1. 全球定位系統圖片來源:George Hodan的「在地圖上的地方

 

這代表什麼:允許應用程式透過全球定位系統(GPS)和其他定位來源(如基地台和無線網路)來取得你的確切位置。跟網路定位一樣,GPS定位也可以用來讓應用程式開發人員從基於位置的廣告獲利。

它如何被濫用:惡意應用程式用它來載入基於位置的攻擊或惡意軟體。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看網路狀態

    圖片來源:Tim在雪梨拍攝的「尋找GSM網路」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式檢查是否有手機網路連線(也包括無線網路)。應用程式需要網路連線來下載更新或連接伺服器及網站。

它如何被濫用:惡意應用程式用它來找出可用的網路連線,這樣才能夠執行其他動作,像下載更多惡意軟體或發送簡訊。惡意應用程式可以在你不知情下切換這些連線,吸乾你的電池或增加你的數據收費。

需要此權限的應用程式:位置相關應用程式,打卡應用程式,社群媒體應用程式

 

  1. 看無線網路連接狀態
    圖片來源:Jason Wilson的「無線網路符號」,,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式存取無線網路資訊,例如已設定的網路列表和目前使用中的無線網路 。

它如何被濫用:網路犯罪分子利用設備漏洞來竊取無線上網密碼和駭入你所使用的網路。

需要此權限的應用程式:瀏覽器應用程式、通訊程式

 

  1. 檢索執行中的應用程式圖片來源:Jason Howie的「社群媒體應用程式」,透過創用CC署名2.0 通用條款使用

這代表什麼:允許應用程式確認目前或最近執行的工作和每個工作所執行的程序。

它如何被濫用:網路犯罪分子利用這從其他執行中的應用程式竊取資訊。還可以檢查並「殺掉」安全應用程式。

需要此權限的應用程式:工作清理應用程式,電池監測應用程式,安全應用程式

 

  1. 完整的網路存取能力
    圖片來源:Blaise Alleyne的「網路開放」,透過創用CC署名2.0 通用條款使用

 

這代表什麼:允許應用程式連接網路。

它如何被濫用:惡意應用程式使用網路來連到它們的指揮中心或下載更新和更多惡意軟體。

 

  1. 讀取手機狀態和識別資訊需要此權限的應用程式:瀏覽器應用程式、遊戲應用程式、通訊程式、生產力應用程式

這代表什麼:允許應用程式知道你是否正在接聽電話或連接網路。也讓它們存取像是你的電話號碼、國際行動裝置標識(IMEI)號碼和其他識別資訊。應用程式通常用此來識別使用者而無需更多敏感資訊。 Continue reading “12個最常被濫用的Android應用程式權限"

Spotify 的 Android應用程式漏洞可能導致釣魚攻擊

趨勢科技發現一個會影響版本1.1.1以下的Spotify Android應用程式中的漏洞。一旦被利用,該漏洞可以讓壞人控制顯示在應用程式介面的內容。該漏洞可能被網路犯罪份子用來發動釣魚攻擊而導致資料遺失或被竊。

Spotify快速地回應了趨勢科技的發現,修復了其在1.1.1版本應用程式的漏洞。我們建議使用者確保自己所使用的是最新版本的Spotify

受影響的活動 

該漏洞影響一特定活動com.spotify.mobile.android.ui.activity.TosTextActivity),其被設計來取得和顯示Spotify網頁在應用程式上。該漏洞導致這些輸出網頁的內容可以被安裝在手機上的其他應用程式看到。此外,該漏洞可以讓其他應用程式、程序或執行緒在無須額外權限下觸發活動。

使用一個惡意應用程式,攻擊者可以利用此一活動來改變該應用程式呈現給使用者的內容。例如,在Spotify應用程式上顯示Google首頁。更加惡意的網頁也可以在應用程式內出現。

圖1、官方 Spotify應用程式顯示 Google首頁

Continue reading “Spotify 的 Android應用程式漏洞可能導致釣魚攻擊"

「不留痕跡」的惡意程式,專門鎖定行動網路銀行使用者

惡意 Android App 攔截銀行傳送密碼,專門破解連線階段密碼安全機制

趨勢科技發現了一個名為「Operation Emmental」(愛曼托行動) 的網路犯罪行動,專門攻擊網路銀行。當銀行及客戶利用手機簡訊 (SMS) 進行雙重認證時,駭客趁機竊取銀行客戶的登入帳號密碼並攔截簡訊,進而完全掌控帳戶。這項在奧地利、瑞典、瑞士相當盛行的犯罪行動目前已現身日本,因而使得亞太地區遭受類似攻擊的風險升高。

在這項攻擊行動當中,歹徒會先假冒知名銀行的名義散發垃圾郵件給使用者,引誘缺乏戒心的使用者點選一個惡意的連結或附件檔案,讓使用者的電腦感染一個特殊的惡意程式。有別於一般網路銀行惡意程式,此惡意程式會修改受感染電腦的網域名稱伺服器 (DNS) 組態設定,將DNS 設定指向歹徒掌控的DNS伺服器,然後再將惡意程式本身刪除,因此便不留痕跡,無法偵查。這雖然只是一個小小的修改,但對受害者的影響卻非常深遠。 

惡意 Android App 程式會偽裝成銀行連線階段密碼產生器。但事實上,它卻會攔截銀行所送出的密碼,並且將它轉傳到歹徒的幕後操縱 (C&C) 伺服器或歹徒的行動電話號碼。也就是說,網路犯罪者不僅透過網路釣魚(Phishing)網站取得了受害者的銀行登入帳號和密碼,現在更取得了網路交易所需的連線階段密碼。如此,犯罪集團便能完全掌控受害者的銀行帳戶。

您網路銀行帳號的防護很可能就像瑞士埃文達乳酪 (Swiss Emmental) 一樣千瘡百孔、充滿漏洞。長久以來,銀行一直試圖防止犯罪集團將黑手伸入您的網路帳號當中。密碼、PIN 碼、座標卡、交易認證碼 (TAN)、連線階段密碼等等,全都是用來防止銀行詐騙的措施。最近,趨勢科技發現一個專門破解連線階段密碼安全機制的網路犯罪行動,以下說明該行動的犯案手法。

該犯罪集團的目標是那些透過簡訊發送連線階段密碼到客戶手機的銀行。這是一種將客戶手機當成第二認證管道的雙重認證機制。當使用者要登入網路銀行網站時,銀行會利用簡訊傳送一串數字到使用者手機。使用者必須將這串數字,連同原本的使用者名稱和密碼,一起輸入到網站來進行網路交易。目前有某些奧地利、瑞典、瑞士及其他歐洲國家的銀行在使用這套機制。

資料外洩 信用卡 信上購物 網路銀行 手機 平板 行動裝置 online bank

 

網路犯罪者會先發送假冒購物網站的電子郵件給這些國家的使用者。若使用者點選了其中的惡意連結或附件檔案,其電腦就會被惡意程式感染。到這裡,一切都像典型的攻擊,沒什麼特殊之處。

不過,接下來就很有意思。使用者的電腦其實也不算受到感染,總之,不像一般的銀行惡意程式那樣。惡意程式只會修改系統的組態設定,然後就將自己刪除。這招反偵測手法如何?雖然只是小小的改變…. 但影響卻非常深遠。

其運作方式如下:使用者電腦的 DNS 設定將被指向一個由網路犯罪者所掌控的國外伺服器。惡意程式在系統上安裝了一個惡意的 SSL 根憑證,如此一來,系統就會自動信任歹徒的惡意 HTTPS 伺服器,不讓使用者看到安全警告訊息。

圖 1:電腦感染 Emmental 行動惡意程式之後的雙重認證流程 Continue reading “「不留痕跡」的惡意程式,專門鎖定行動網路銀行使用者"

假防毒軟體從電腦移植到了 Android 平台

Google Play 商店上的假防毒軟體以及趨勢科技「行動裝置應用程式信譽評等服務」的動態分析如何為您提供防護

本部落格曾報導過新北市王姓女研究生(廿四歲)點擊網路釣魚(Phishing)的連結,隨即出現即時掃毒畫面的方式,緊接呈現掃毒結果,跑出十餘筆病毒資料,詳細記錄被感染的電腦位置。她多次重新開機,不是顯示微軟開機的黑畫面,就是藍底白字的英文說明,指電腦中毒無法正常運作,必須更新防毒軟體。誘騙王同學線上刷卡。被害王同學付費兩千元後收到「防毒軟體」,結果非但不解毒,反而讓電腦中毒,不僅詐騙刷卡費用,也盜取個人資料

過去幾年在電腦上盛行的假防毒軟體 (FakeAV)已經移植到了 Android 平台

手機個資外洩?可能是你兒子下載廣告軟體

2014 年才進入四月,Android 惡意程式就已爆炸性成長。Android 惡意及高風險的 App 程式已突破二百萬大關 (見圖一),離趨勢科技技術長之前所預測的三百萬大關已不遠。事實上,光是 2014 年前三個月,我們就在全球發現了 500,000 個新的 Android 惡意及高風險的 App 程式。就在我們不斷提升這類威脅的防護時,我們又見到另一種新的威脅從 PC 移植到了 Android 平台:一個名為 Virus Shield 的假防毒軟體 (FakeAV) 在 Google Play 商店現身。

 (圖一)

Virus Shield 於 3 月 28 日首次現身 Google Play 商店,以 3.99 美元的價格販售。根據我們的調查,其購買及下載的人次超過 10,000 以上。事實上,這款惡意程式在一星期內即登上銷售排行榜第一。 Continue reading “假防毒軟體從電腦移植到了 Android 平台"

《APT 攻擊》南韓 DarkSeoul 大規模 APT 攻擊事件事件 FAQ

 

南韓遭駭客攻擊事件,引發中外媒體大量報導
南韓遭駭客攻擊事件,引發中外媒體大量報導(圖為壹電視報導)

 

    2013 年 3 月 20 日在韓國發生什麼?
在 3 月 20 日下午,多家韓國民間企業遭受數次攻擊,業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。
*本事件有一說為南韓 DarkSeoul  大規模APT攻擊事件)

4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊

•    誰在此次攻擊事件中受到影響?

數家韓國媒體與金融機構的網路受到影響,尤其是媒體,據報導他們的業務運作受到嚴重中斷,要完全恢復至少需要4至5天。

•    攻擊者的意圖為何?

目前還不知道攻擊者的動機,但是攻擊造成的影響是終端正常業務運作,表明了這是一次破壞行動。如果不知道攻擊者的真面目,很難去判定此次攻擊的意圖為何。

•    攻擊活動如何開始? 相關的惡意軟體如何入侵?

一封偽裝成三月份信用卡交易紀錄的郵件被送給被害者,該郵件包含兩個附件,一個是無害的 card.jpg,另一個是惡意的 .rar 文件,文件名寫著「您的帳戶交易歷史」

韓國遭駭客攻擊的社交工程信件
韓國遭駭客攻擊的社交工程信件

•    此次攻擊事件的感染途徑為何?

附件的 .rar 文件是一個 downloader,它會連接數個惡意 IP 地址並下載 9 個文件。企業內部的中央更新管理伺服器也遭受入侵而被植入惡意程序,更新管理機制讓這個惡意程序能夠相當快速地散播到所有連接此伺服器的電腦。該惡意程序會新增數個組件,其中包含一個 MBR (主開機記錄,Master Boot Record) 修改器。

•    在終端電腦上發生什麼?

這個 MBR 修改器,經趨勢科技偵測分析,定名為 TROJ_KILLMBR.SM 惡意程序。該惡意程序被設定在 2013 年 3 月 20 日執行,在這個時間之前,它只是安靜地存在系統之中。當設定的時間到達之後,TROJ_KILLMBR.SM 覆蓋MBR並且自動重啟系統,讓此次破壞行動能夠生效。它並且利用保存的登入訊息嘗試連接 SunOS、AIX、HP-UX 與其他 Linux 伺服器,然後刪除服務器上的 MBR 與文件。

對於Windows Vista 或是更新的版本,它會搜尋所有固定或移動硬碟中文件夾裡的全部文件,用重複的單詞去覆蓋文件,然後刪除這些文件與文件夾。在根目錄的文件是最後被覆蓋的。對於比 Windows Vista 舊的操作系統,它會覆蓋所有固定或移動硬碟的開機引導紀錄 (boot record)。

    在 3 月 20 日之前有沒有對於此事攻擊事件的提前預警?

在一個趨勢科技的客戶環境中,我們能夠判斷至少在一天前,也就是 3 月 19 日,他們就已經遭遇了這個威脅。然而藉由趨勢科技威脅發現設備 DDI 的協助,他們能夠提早知道並且採取防禦措施。

    趨勢科技對於此次攻擊事件提供什麼保護?

趨勢科技 DDI 利用偵測到相關郵件中的惡意附件,啟發式偵測名稱為 HEUR_NAMETRICK.B,我們也提供特徵碼去查殺 MBR 修改器,同時我們能夠偵測此次攻擊相關的所有 URL 與垃圾郵件。

•    趨勢科技客戶在此次事件中有受到影響嗎?

趨勢科技 DDI 能夠利用啟發式偵測與沙盒分析提示與此次攻擊相關郵件中的惡意附件。由於 DDI 提供的訊息,客戶能夠提早採取預防措施,防止威脅影響他們的系統。

     面對 APT 攻擊企業該怎麼辦呢? 這是我們的建議 

•    確保重要主機的防護及安全

。    駭客企圖利用具有中控管理的程式來散播惡意程式,所以包含防毒軟體、資產管理、軟體派送及 AD 等等,因此做好主機保護很重要。

。    程式本身也必須做好防護,以免成為攻擊的管道。 Continue reading “《APT 攻擊》南韓 DarkSeoul 大規模 APT 攻擊事件事件 FAQ"

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外,Android使用者也必須要小心那些有後門功能的應用程式。

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體,但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告,這正好說明了針對Android攻擊的多樣化,而且還沒有看到盡頭。

而在出現這些報告之前,我們從二〇一二年七月就開始看到這類型的惡意軟體,到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本(趨勢科技偵測為ANDROIDOS_KSAPP.A,ANDROIDOS_KSAPP.VTD,ANDROIDOS_KSAPP.CTA,ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX)是從某第三方應用程式商店取得,但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類,有些會做成熱門遊戲的重新包裝版本。

我們所分析的第一批樣本是用相同的應用程式名稱,應該是來自同一家公司。

一旦這些惡意應用程式被安裝成功,它會連到下列的遠端網站以取得壓縮過的腳本程式,然後讀取這腳本程式:

  • http://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • http://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
  • http://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0

需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜,因為惡意軟體可以透過新腳本程式來變更自己。

 

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

如上圖所示,這惡意軟體還會更新執行中的腳本程式,以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令,讓遠端攻擊者可以在受感染設備上執行。例如,應用程式可以執行測試用函數(代碼如下所示):

 

有後門功能的Android應用程式 ,埋伏在遊戲類應用程式
有後門功能的Android應用程式 ,埋伏在遊戲類應用程式

 

解讀遠端腳本程式,可以用Java反射(reflections)安裝新的Java物件(如變數和函數),因此動態的遠端程式碼可以在本地端執行,這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案,應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備,執行更多可怕的指令。

二〇一二年已經成為Android威脅的一年,而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到,Android惡意軟體的數量成長到卅五萬,相對於我們在二〇一一年所看到的一千個行動惡意軟體,這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史,只是用更快的速度。如果這種趨勢繼續下去,我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬Continue reading “有後門功能的Android應用程式 ,埋伏在遊戲類應用程式"