標籤: Android Market

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

趨勢科技 TrendMicro

趨勢科技發現一個Android惡意軟體家族會未經使用者同意就下載應用程式和付費影音,讓受害者花上不必要的錢。它們都是正常的天氣預報軟體 – GoWeather的木馬化的山寨版本,被趨勢科技偵測為ANDROIDOS_TROJMMARKETPLAY。

 

 

 

 

 

 

 

 

 

經過研究,趨勢科技取得這惡意軟體家族的三個樣本。其中一個樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.B)和其他樣本比起來,似乎是測試用的版本。我們發現許多測試資訊和代碼,留下讓我們可以找到幕後黑手的線索。

 關閉付費彈出視窗,他下載影音等應用程式你買單

現在讓我們專注在可能是測試版本的樣本上。一旦安裝完畢,ANDROIDOS_TROJMMARKETPLAY.B會將行動網路的APN更改為CMWAP,讓行動裝置自動登錄到第三方應用程式商店 – M-Market。使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者幫他人下載的應用程式和影音買單。

使用者第一次登入時會出現付費彈出視窗。惡意軟體會接著關閉此視窗,並打開M-Market上的頁面去尋找並下載付費影音或應用程式。這行為會讓受害者因為不想要的應用程式和影音而花錢

 

要求回覆認證碼簡訊遭攔截,驗證碼圖片遠端解碼,受害者渾然不知

通常使用者會接到M-Market所傳來的確認簡訊,並要求回覆認證碼。不過在此案例中,惡意軟體會攔截並回覆簡訊,所以受害者並不會察覺。至於驗證碼圖片,惡意軟體會下載圖檔,並且送到遠端伺服器來進行解碼。解碼伺服器的位置放在設定檔內 – yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

解碼伺服器的位置放在設定檔內 - yk-static.config。這檔案裡還包含其他設定,包括用來發送簡訊的電話號碼。網域名稱欄位是用來放解碼伺服器的位置。

 

趨勢科技還觀察到ANDROIDOS_TROJMMARKETPLAY.B有個顯著的不同。和其他同家族的惡意軟體樣本(偵測為ANDROIDOS_TROJMMARKETPLAY.A)比起來,這個測試版本具備自我更新的功能。它攔截並回覆驗證簡訊的方法也不同。 變種.B使用資料庫, 變種.A則使用檔案來儲存驗證碼。此外,變種.A含有尋找付費影音的程式碼。

繼續閱讀

偽裝成Android Flash Player假應用程式,下載後簡訊費暴增

趨勢科技 TrendMicro
 上個月,趨勢科技看到了網路犯罪分子會利用受歡迎的手機軟體,像是Instagram憤怒鳥太空版來植入惡意軟體到Android手機上(請參考:《山寨版免費Android App》InstagramAngry Birds Space憤怒鳥星際版/太空版 下載後電信費暴增 | 雲端防毒是趨勢)。這一次,我們發現一樣的社交工程陷阱( Social Engineering)手法,只是例用了Adobe這名字。

 

偽裝成Android Flash Player假應用程式,下載後簡訊費暴增
偽裝成Android Flash Player假應用程式,下載後簡訊費暴增 跟趨勢科技之前所報導過的假Instagram和假憤怒鳥太空版一樣。為了進一步吸引使用者去下載假的Adobe Flash Player應用程式,網頁上的說明聲稱它完全相容於任何Android OS版本: 聲稱它完全相容於任何Android OS版本的Adobe Flash Player應用程式

 

  繼續閱讀

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

趨勢科技 TrendMicro

Android Market 上的詐騙越來越多。上星期,趨勢科技談到有一家開發廠商利用常見的應用程式名稱誘騙使用者下載了假冒的程式。在那之前,趨勢科技也在 Android Market 上發現過一個假冒的 Temple Run 應用程式。這一次,我們又發現了 37 個出現類似行為的應用程式。這些是所謂的「粉絲應用程式」(Fan App),也就是說,這些並非由原廠商所開發。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

光是瀏覽這些粉絲應用程式的網頁,趨勢科技就發現了一些奇怪的現象。其開發廠商的網站連結指向的是一些無效的網址,例如某個 .com 網站,一個拼錯字的 Google 網域 (拼成了 googel.com)。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

另一項引起趨勢科技注意的是,所有上述應用程式的畫面抓圖都相同。這些應用程式一旦安裝,就會強迫使用者將它分享到 Facebook (如果有安裝) 並且在 Android Market 上給予評分。此外,它還會不斷透過通知訊息來顯示廣告,並且在受感染裝置的首頁上建立捷徑。

 

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

 

不過,更嚴重的問題是,這些應用程式會將一些敏感資訊傳送到某個遠端伺服器。傳送的資訊內容包括:作業系統版本、國際行動設備識別碼 (International Mobile Equipment Identity,簡稱 IMEI) 以及電話號碼等等。這些應用程式一旦執行,上述資訊就會立即傳送到遠端伺服器。

Android Market詐騙又一樁!非原廠開發的37個「粉絲應用程式」強迫廣告並暗中傳送敏感資料

程式提供了一個關閉廣告的選項。但使用者很可能會錯過或忽略,因為這個選項藏在網站上的應用程式說明頁面。

 

千萬別忽略謝絕打擾的選項

趨勢科技在幾天主動將這些應用程式向 Google 通報。他們的反應很快,立即將這些程式從 Android Market 下架。

然而,從 Android Market 下架並無法完全消除這些應用程式的威脅。網路犯罪者依然會將他們上傳至其他網站,例如第三方應用程式商店、論壇等等。不過,不論網路犯罪者將它們上傳到哪裡,趨勢科技都能偵測出這個 ANDROIDOS_FAKEAPP.SM假冒程式。

很顯然地,在應用程式當中插入頻繁廣告的手法,尤其是與透過搜尋引擎賺錢的相關手段,短期之內應該不會消失。因此,使用者在安裝應用程式時最好提高警覺。如要閱讀更多有關這方面的內容,請參閱我們先前的部落格文章:手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技已經能夠防範這項威脅。不過,使用者教育對於防止行動裝置遭到類似攻擊依然非常重要。如需更多關於行動裝置威脅以及如何保護行動裝置安全的資訊,請至我們的行動裝置威脅資訊站 (Mobile Threat Information Hub)

@原文來源:“Fan Apps” Now Spreading on the Android Market作者:Kervin Alintanahin (威脅分析師)

@延伸閱讀:
手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?
手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式
惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
2011年回顧:手機病毒
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務
保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>

TMMS 動新聞.PNG

手機防毒不可不知 (蘋果動新聞 有影片)

@開箱文與評測報告

防毒也防失竊趨勢科技行動安全防護軟體測試

[評測]趨勢科技行動安全防護for Android

TMMS 3.75 Stars in PC World AU

 

 

 

◎ 歡迎加入趨勢科技社群網站

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技 TrendMicro

 

 

將搜尋貨幣化是行動平台上的新威脅

 

 

 

 

一份報告,提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk,它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P

 

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼,所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑,取得/設定書籤,將手機資料送回它的伺服器(包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系),設定通知,還有設定瀏覽器首頁。

 

趨勢科技認為可以將這應用程式歸類為廣告軟體,因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體(Mobile App Adware)」。一開始它還提供軟體開發套件(SDK),讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的:安裝搜尋捷徑,透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之,它原本是個用來賺錢的廣告服務,讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

 

「行動應用程式廣告軟體」

 

從這點來看,它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡,好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡,這和在桌上平台所做的事情是幾乎一模一樣的。

 

趨勢科技威脅回應工程師Erika Mendoza補充說:「想到廣告網路,我覺得現在很多應用程式都含有類似的程式碼,這種手機廣告軟體算是有侵略性,但是要認定這類惱人行為是否為惡意,仍然取決於使用者。」

 

Lookout Mobile Security研究人員則不認為這種行為是種惡意軟體攻擊,它比較算是「侵略性的廣告網路。」我們同意他們所說的,這本身並不是惡意軟體。但是,這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚,而很久以後才出現影響的。

 

對於安裝應用程式來說,保留安裝時所取得的權限,還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留,好作為重裝時的預設值。在現實裡,有太多應用程式被下載,有各種不同的下載目的,有著各種不同的使用者設定,所以要追查的話實在有太多變數了。

 

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式 繼續閱讀

關於手機應用程式Carrier IQ的真正問題

趨勢科技 TrendMicro

最近網路上一直在討論Carrier IQ(一個被預載在手機裡用去監控網路和手機性能的應用程式)和跟它有關的個人隱私問題。

在關於Carrier IQ的報導裡提出了許多問題,關於它所收集的資料,它不經由使用者同意就預裝在某些手機的情形,還有使用者可以怎麼去處理它。

跟據這些報告,Carrier IQ會記錄像是收發簡訊、進行網路搜尋和被鍵入的電話號碼等資訊。這些行為都在Trevor Eckhart所發表的影片內被證實,他是最先對Carrier IQ提出質疑的研究人員。

全都是服務的一部分

讓我們想一想Carrier IQ的目的。它是設計來監看網路和手機性能的應用程式。這些電信業者可以經由是否正常提供服務來評估自己的表現,像是簡訊、電話、網路還有其他的服務。

以這為前提,我們可以說收集跟上述手機功能相關的使用情況是很有道理的,甚至對電信業者來說是必要的,才能有效地監控他們所提供的服務跟解決任何問題。

我們就這問題跟趨勢科技的研究人員Rik Ferguson討論過,他指出Eckhart的影片是在詳細除錯模式下進行的,並不真正代表Carrier IQ真正被安裝在手機上的行為。根據開發商的說法,Carrier IQ的確會記錄發簡訊時的按鍵,但是Carrier IQ只是去辨認按鍵順序以用來執行本地端命令。像是當你打電話給技術支援時,鍵入「現在上傳診斷結果」。它還可以監控傳入的簡訊,不過是針對電信商傳來的訊息以讓Carrier IQ執行指令。 繼續閱讀