一款會竊取使用者位置、簡訊對話、通話記錄和剪貼簿等資料的間諜軟體 MobSTSPY 偽裝成6款Android(安卓)應用程式,其中一款在全球下載數量已超過10萬次.殃及全球196個國家用戶。另外,MobSTSPY還會以網路釣魚手法竊取使用者的Facebook 臉書及Googel 帳密。
趨勢科技發現有一款間諜軟體(偵測為ANDROIDOS_MOBSTSPY)偽裝成合法Android應用程式收集使用者資料。這些應用程式在2018年出現在Google Play上,有一些在全球被下載了超過10萬次。
我們最開始研究的是一款遊戲軟體Flappy Birr Dog(如圖1)。其他還包括了FlashLight、HZPermis Pro Arabe、Win7imulator、Win7Launcher和Flappy Bird。
圖1、Flappy Birr Dog下載頁面
使用者常常會到第三方應用程式商店來下載官方商店所沒有的應用程式,甚至是盜版應用程式(比如說付費軟體的免費版)。而有些使用者則是因為官方應用程式商店在他們所在區域無法使用,只好使用這些網站。
但是連上這些網站並不是個好主意。和Google Play相較起來,第三方應用程式不一定會嚴格監控被移除惡意應用程式。所以應該將來自這些第三方網站的應用程式都視為有潛在的危險,因為使用者並無法輕易地判斷裏面是否被加入了惡意程式碼。
趨勢科技在前些日子討論了一些Flappy Bird的相關威脅。在追查的過程中,我們發現有好幾個第三方應用程式商店會散播或製造類似的危險行動應用程式。
這些第三方應用程式商店,將廣告,甚至是惡意程式碼植入到熱門應用程式內。這些應用程式會讓使用者的個人隱私陷入危險,甚至可能造成金錢上的損失 – 最近的木馬化Flappy Bird應用程式會濫用加值服務來賺錢,還會連到命令和控制伺服器來接收指令。
下面例子所舉的模仿Google Play商店的第三方應用程式商店,包含各種木馬化的知名應用程式。甚至還出現假版本的Google Play應用程式,只是它會導回自己的第三方應用程式商店。
圖一、模仿Google Play的例子
這家商店的應用程式含有額外的廣告程式碼,從這些廣告中所獲得的利潤會到網路犯罪分子身上,而非應用程式作者。會送出的資料包括使用者的電話號碼、電子郵件地址和設備資料。
圖二、廣告資料
趨勢科技提醒勿輕易安裝,以免受害
【2014年2月13日 台北訊】趨勢科技發現,近期爆紅、卻又無預警下架的手機遊戲「Flappy Bird」,因下架後被瘋狂搜尋,目前已經出現了內含木馬程式的山寨版app,會洩漏用戶手機內重要個資、甚至讓用戶不知情地被註冊付費服務,導致手機費用暴增!趨勢科技提醒Android手機用戶,切勿安裝山寨版,也勿授權該遊戲自動傳送簡訊,以免受害。
Flappy Bird是一款由越南開發者寫出的手機遊戲程式,其簡單好玩的特性讓許多手機用戶沉迷,全球下載次數超過5000萬次,但開發者卻於日前無預警宣布將遊戲下架。沒想到宣布下架後,反而引起更多用戶關注,越來越多人開始搜尋並試圖下載該遊戲。趨勢科技持續監控網路威脅與攻擊情形,發現現隨著搜尋人數的增加,暗藏病毒的山寨版app也隨之出現。
趨勢科技資深技術顧問簡勝財表示:「目前發現的所有Flappy Bird山寨版,都是屬於『註冊付費服務』的惡意程式,會讓用戶在不知情的狀況下,授權個資被註冊付費服務,導致用戶電話費帳單暴增。部分惡意程式會要求用戶付費,如果拒絕,遊戲就會被關閉。」
簡勝財指出,被趨勢科技偵測出來的惡意程式有ANDROIDOS_AGENT.HBTF,ANDROIDOS_OPFAKE.HATC,以及ANDROIDOS_SMSREG.HAT。用戶如果在網路搜尋,可能會找到跟正版Flappy Bird長得一模一樣的山寨版圖案(如下圖):
用戶在安裝山寨版的Flappy Bird程式時,會出現以下的訊息,要求用戶同意讓軟體收發簡訊,以便安裝(事實上,安裝正版的遊戲,並不會出現這個要求):
當山寨版順利安裝完成後,它會主動傳送簡訊,替用戶註冊「付費服務」, 日後用戶收到暴增的電話費帳單時才會發現異狀,但不一定知道是這個惡意軟體產生的問題。 繼續閱讀
