Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料

 

趨勢科技發現最新的山寨版 Super Mario Run《超級瑪利歐酷跑》變種:「Fobus」,會跳出貌似 Google Play 的輸入對話框,要求輸入信用卡相關資料,並且使用 Luhn演算法檢查信用卡號碼真偽。如果輸入無效信用卡,它還會顯示錯誤訊息。想要跳脫對話框, 還得填寫生日、住址、電話號碼等更多欄位。

一旦下載安裝,「Fobus」就會從收集各種敏感資訊,像是使用者的手機號碼、聯絡人資料、位置資訊和簡訊等。另外還會透過命令與控制(C&C)伺服器,讓遠端攻擊者重設裝置密碼,使得被駭用戶無法操作自己的設備,並讓攻擊者可遠端接收回傳的信用卡資料

繼去年底本部落格報導有超過9,000個搭任天堂Mario(瑪莉歐)順風車的手機應用程式,約有三分之二都帶有惡意行為,趨勢科技又發現了更多Android惡意軟體冒用熱門手遊Super Mario Run《超級瑪利歐酷跑》,藉機竊取用戶的信用卡資訊。

手機遊戲一向是網路犯罪分子愛用的誘餌,這並非第一次出現熱門遊戲被冒用名字,之前大熱門的《精靈寶可夢Pokemon Go》還會偷偷點色情廣告,亂訂閱服務,讓你手機帳單暴增

根據趨勢科技Smart Protection Network的反饋資料,在2016年12月出現第一個假「Super Mario Run」的 app 後,光是2017年的前三個月就看到超過400個這樣的應用程式。

趨勢科技發現最新的變種:「Fobus」(偵測為ANDROIDOS_FOBUS.OPSF),透過第三方應用程式商店散佈。一如往常,它會要求各種權限:

圖1、山寨版軟體要求權限

Continue reading “Android用戶注意!山寨版Super Mario Run《超級瑪利歐酷跑》正覬覦你的信用卡資料”

假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。 Continue reading “假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動”

什麼!7億安卓裝置受監控 個資通通流回中國

news-red-tv

安卓系列產品(Android)的忠實用戶看過來~就在上週,安卓裝置被爆出驚人安全漏洞:安卓承包商最近在安卓裝置上內建一個惡意軟體,其功能涵蓋監視用戶的行動足跡、聊天對象、甚至訊息內容……。詳細內容美國當局正進行嚴密的調查,然而雖不清楚受影響到用戶的實際數量,來自中國,同時也是編寫此軟體的上海廣升信息技術有限公司(Adups)已表示超過七億個安卓裝置內建此軟體。

揭發該漏洞的行動安全公司Kryptowire表示:廣升的軟體將信息內容、聯絡人名單、通話記錄、發送位址,以及其他相關資料從世界各地傳送回中國。電子產品中出現的資安漏洞大多數為程序錯誤,然而這次廣升編寫的內建軟體是蓄意內嵌以便監視用戶行為,因此引發很大的迴響。

延伸閱讀>>反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP! Continue reading “什麼!7億安卓裝置受監控 個資通通流回中國”

反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP!

剛看完《怪獸與他們的產地》的小英,透過app叫了一台車,搭上車後駕駛突然詢問她的名字是不是xx英並在OOO工作。驚訝的小英不禁開始懷疑自己是否曾經見過這位駕駛,殊不知自己的手機以及其它個資已公布於公開資料庫……。

通用 企業
上週日(2016年11月20日) 三款人氣APP爆出資安漏洞!根據雅虎新聞報導〈CM Security 及 WhatsCall 涉洩露用家資料 獵豹移動即日暫停功能〉,CM Security、Truecaller及Sync.ME總計收集全球超過30億筆聯絡資料,並儲存於公開資料庫供人查詢,而連絡資料包含姓名、連絡電話、社群帳戶資料。

雅虎新聞將個資曝光歸因於三款APP的「來電攔截功能」非法收集用家聯絡人名單,並上載經集成的公開的資料庫。用戶下載APP時為了啟用功能,需開放使用者權限,以Truecaller為例:Truecaller隱私政策聲明,公司將轉移、處理及儲存用戶個人資料至多個國家,並將資料與公司授權的第三方合作單位分享。

延伸閱讀>>
手機不設防?同意條款到底給軟體公司什麼權限呢?
什麼!7億安卓裝置受監控 個資通通流回中國

隨著網路交易起步,許多用戶將手機號碼當作銀行轉帳、信用卡聯繫或網拍的驗證方式。簡簡單單的姓名以及手機號碼將提供駭客無限的可能。若未使用上述APP的使用者也不要太急著放心,這三款APP的下載總數約 2 億,曝光資料卻逾30億!換句話說,即使沒有下載上述APP,也會因為親朋好友下載而淪為受害者。這次事件受害者包括政商演藝名人,較知名的有香港特首梁振英、香港政務司司長林鄭月娥、澳門博彩執行董事梁安琪、康宏金融 CEO 莊偉忠、填詞人林夕、藝人汪明荃、陳百祥等人。 Continue reading “反查號碼APP曝光30億個資 雅虎警告: 立即移除這些危險APP!”

熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本

七月iOS 和 Android 最新手機遊戲 Pokemon Go (精靈寶可夢) 在真實世界投下了一顆震撼彈。

Pokemon Go 是神奇寶貝系列最新的熱門遊戲。Pokemon Go 遊戲的目標就是「Gotta catch ‘em all」(必須將它們全部收服),這一點玩家須靠手機和擴增實境技術在真實世界中達成。Pokémon Go 會利用手機的 GPS 定位並搭配 Google 地圖在真實世界的某些地點放置一些神奇寶貝供您透過手機搜尋。一旦您所在位置附近有神奇寶貝出沒,您就可以利用手機的相機來查看神奇寶貝,然後將它收服。此功能必須使用手機來尋找神奇寶貝,再藉由手機的照相功能讓您在周遭的環境上看到神奇寶貝。接著,您要在螢幕上投出一個神奇寶貝球來收服神奇寶貝並獲得經驗點數。

除此之外,Pokémon Go 還會指引使用者帶著神奇寶貝到真實世界的某些地點去找神奇寶貝競技場 (Gym),好讓神奇寶貝在此進行戰鬥訓練及升級。

假使去除了真實世界的元素,基本上這遊戲其實並無真正創新之處。Pokémon Go 結合擴增實境在真實世界進行遊戲的方式,可說是獨創而前所未見。不過,也讓我們見到擴增實境遊戲一些始料未及的風險。

這些始料未及風險就是真實的人身傷害。Pokémon Go 遊戲在上市的幾天之後即發生了多起武裝搶劫事件,歹徒利用遊戲來尋找及引誘受害者。此外,還有一些瘋狂玩家為了尋找和收服神奇寶貝竟然私闖民宅。美國更出現有玩家為了抓神奇寶貝而私闖民宅並且遭主人打傷的案例。還有些玩家因為玩得太過忘我、未注意到周遭情況而受傷或死亡。

因為遊戲本身相當有趣,就像任何電玩遊戲一樣,您很容易太過著迷,而且這款遊戲又需要全神貫注。是的,遊戲在一開始都會特別警告您要小心,但很快就會被遺忘。

App Store 和 Google Play 市集上源源不絕的新遊戲,可說是行動市場不斷成長的一股動力。不過,手機遊戲的不斷成長,也讓這些遊戲成為網路犯罪集團最佳的攻擊途徑之一。Pokemon Go 這款利用擴增實境技術的最新遊戲讓全球粉絲為之瘋狂。不幸的是,網路犯罪集團很快就盯上這股熱潮,遭到篡改的冒牌 Pokemon Go 應用程式,已開始在網路上流傳。冒牌版本裡頭暗藏著一個名為 DroidJack 的 RAT 遠端存取木馬程式 (趨勢科技命名為 AndroidOS_SANRAT.A)。此惡意版本已於 7 月 7 日上傳至非官方檔案分享網站 (離該遊戲在美國、澳洲和紐西蘭正式上市僅僅不到 72 小時)。

[延伸閱讀:數字會說話:遊戲玩家所面臨的危險]

惡意版本的目標並非美國、澳洲和紐西蘭的玩家,而是那些急著想要嘗鮮、卻位於遊戲尚未正式發行地區的玩家,他們會從非官方商店下載該遊戲並自行安裝。這個遭到篡改的遊戲,基本上可讓駭客完全掌控受害者的手機。此惡意程式可取得 Android 裝置所有主要功能的權限,包括存取、修改及執行各種功能:電話、簡訊、通訊錄、相機、錄音機,以及啟用或停用 Wi-Fi 連線。 Continue reading “熱門手機遊戲 Pokemon Go (精靈寶可夢)出現惡意冒牌版本”

《 小廣與小明的資安大小事 》美女播報氣象 app,讓人冒冷汗?

漫畫 詐騙應用程式 假app fake app

日本資安漫畫 banner

 

有沒有提供過多的資訊給應用程式?

在智慧型手機上安裝應用程式時,是否有確認允許應用程式取得哪些權限?或許你正在安裝的應用程式,是打算竊取智慧型手機內的個人資料或聯絡人資料的非法應用程式。事實上,分辨非法應用程式的提示就在允許應用程式取得權限的清單畫面中。 Continue reading “《 小廣與小明的資安大小事 》美女播報氣象 app,讓人冒冷汗?”

< 小廣和小明的資安大小事 > 跑步 app 透漏了不想公開的秘密!!

資安漫畫 app 社群網站洩漏隱私

日本資安漫畫 banner

 

你的手機 APP,社群網站貼文和照片是否公開了自己的秘密?

社群網站雖然方便有趣,公開資訊時還是必須留意,免得像小明一樣,不小心將自己的體重洩漏給大家知道了,提醒大家除了貼文本身的內容外, 也要當心上傳照片時,GPS公開你的拍攝位置。

以廣受歡迎的照片分享社群網站Instagram為例,其「照片地圖」功能,可將位置資訊加入照片中,然後顯示在地圖上。旅遊時,開啟「新增照片地圖」並張貼照片,即可在地圖上回顧旅途的點點滴滴。 Continue reading “< 小廣和小明的資安大小事 > 跑步 app 透漏了不想公開的秘密!!”

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

 

圖1、有MDash SDK的應用程式範例

 

圖2、MDash SDK原始碼結構

Continue reading “< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK”

假 Android漏洞「掃描程式」暗藏玄機

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

Continue reading “假 Android漏洞「掃描程式」暗藏玄機”

假關機真監控, Android手機木馬”暗”地裡執行惡意動作

你以為你的 Android 手機真的已經關機了嗎?別相信眼見為憑這件事。

一個被稱為PowerOffHijackAndroid,來自中國應用程式商店的木馬程式,可以成功地誘騙使用者相信自己的設備在關機狀態。除非你一手拿著Android手機,一手拿著它的電池,不然你可能無法確定它是否真的關機。

偽裝關機的Android木馬可以追溯到2014年的假Google服務應用程式

Android關機動畫讓你相信設備正在關機。在這時候,惡意軟體仍然可以撥打電話、傳送簡訊、拍照和做其他惡意行為,而且不用經過使用者同意。

這些惡意軟體都在Google Play之外的第三方應用程式商店中發現,需要被 root過的設備才能執行。


Android- Fakes Shutdown-Dr

 

深入此一問題後,趨勢科技研究者發現了據信為早期版本的 PowerOffHijack 應用程式,似乎早在2014年9月就出現。應用程式名稱為AndroidFramework(偵測為AndroidOS_AndFraspy.HAT),將自己偽裝成Google服務,使用套件名稱com.google.progress。

假關機行為

行動裝置使用者都知道,按下電源按鈕有兩種做法。按一下按鈕會關閉螢幕,長按會跳出提示,包括了關機選項。

AndroidFramework 被設計成在背景執行其惡意動作,當你按下電源按鈕並且讓螢幕變黑之後。 Continue reading “假關機真監控, Android手機木馬”暗”地裡執行惡意動作”