每個智慧型手機使用者平均會在裝置上安裝 80 個應用程式,但其中只有 9 個是每天都會用到,另外還有 30 個是每個月都會用到。這表示,大概有一半的應用程式從來就不需要用到。這類應用程式大概都只用過一次,然後就被遺忘在應用程式資料夾內,因而浪費了許多儲存空間。這就是為何 Google 會推出即時應用程式 (Instant App)。
Google Play 即時應用程式最早是在 2016 年推出,專門針對 Android 使用者。這項功能讓您無須完整下載某些應用程式就能體會應用程式的一些基本功能。應用程式可以經由一個連結或網址來啟動,並透過電子郵件、即時通訊軟體、網頁廣告或QR Code 的方式來提供給使用者。
要在 Google Play 上啟用這項功能,請依照以下步驟:
下載免費 APP, Facebook 帳號竟被冒名進行網路釣魚詐騙、散發假貼文…最近趨勢科技發現惡名昭彰的 Facestealer 間諜程式在 Google Play 上再度利用 200 多款冒牌應用程式竊取使用者的 Facebook 登入憑證。
另外也發現了 40 多個冒牌的虛擬加密貨幣挖礦( coinmining )程式,宣稱提供虛擬加密貨幣的賺錢機會,誘騙使用者購買付費服務或點選廣告。除了引誘受害者購買假的雲端挖礦服務,還會試圖利用一些誘餌來騙取使用者的私密金鑰及其他虛擬加密貨幣相關的機敏資料。
最近我們發現 Google Play 上有多款應用程式專門竊取使用者的登入憑證和其他機敏資訊,例如私密金鑰。由於這些應用程式為數眾多且相當熱門 ,有的甚至累積數十萬次下載,或是擁有 4.5 顆星評價。另外還有冒牌挖礦程式,藉著捏造假評價宣稱已領到網站空投的 0.1 乙太幣(約 240 美元),藉以騙取錢包中的 100 美金,並進一步蒐集私密金鑰與助記詞。
以下我們深入研究幾個跟健身、相片編輯、濾鏡還有挖礦程式有關的惡意應用程式:
Facestealer 間諜程式最早是在 2021 年的一篇文章當中所披露,該文章詳細描述它如何在 Google Play 上利用冒牌應用程式竊取使用者的 Facebook 登入憑證。這些被偷的登入憑證將用來登入受害者的 Facebook 帳號以從事各種惡意活動,如:網路釣魚詐騙、散發假貼文、散發廣告。如同另一個名為「Joker」的行動惡意程式一樣,Facestealer 會經常修改程式碼,進而製造出許多變種。這個間諜程式從被發現以來,一直是 Google Play 的頭痛問題。
近期我們在研究行動惡意程式時發現了 200 多個 Facestealer 的冒牌應用程式,並已收錄到趨勢科技行動應用程式信譽評等服務 (MARS) 資料庫當中。
繼續閱讀趨勢科技在免費跨平臺檔案分享程式 SHAREit (「茄子快傳」)應用程式發現了漏洞。這些漏洞可以被惡意用來取得使用者的敏感資料,執行任意程式碼並可能導致遠端程式碼執行。此應用程式有超過10億次的下載量。
在名為SHAREit的應用程式中發現的這些漏洞可以被惡意用來取得使用者的敏感資料,並讓惡意程式碼或應用程式能夠用SHAREit的權限來執行任意程式碼。它們還可能導致遠端程式碼執行(RCE)。在過去,可用來從使用者裝置下載和竊取檔案的漏洞往往與應用程式相關聯。當應用程式允許傳輸和下載如Android Package(APK)等各式類型的檔案,非預期的程式缺陷就可能導致這些功能出現漏洞。
SHAREit在Google Play上有超過10億次的下載量,並被評為2019年下載次數最多的應用程式之一。這些漏洞已經通報給了Google。
趨勢科技研究人員在 Google Play 上的三款不同應用程式上都發現 Content Provider 路徑瀏覽漏洞,其中一個應用程式已經累積 5 百萬次下載。這三個應用程式分別為:鍵盤客製化應用程式、 知名百貨公司購物應用程式,以及歐洲心臟學會 (European Society of Cardiology,簡稱 ESC) 應用程式。還好,前兩個 (鍵盤與百貨公司) 應用程式目前開發廠商已經修正,但 ESC 應用程式截至本文撰稿為止仍尚未修正。經過進一步的研究顯示,此漏洞很可能被用來竊取私密資訊。以下提供漏洞分析以及一些協助開發人員在未來避免此類問題的一些建議。
要了解此漏洞,首先必須先了解一下什麼是 Content Provider (內容供應器)?根據 Android Developer 網站的說明,這是一個讓某個處理程序中的資料能被另一個處理程序使用的標準介面。它能將資料包裝起來然後提供介面給應用程式使用,同時也提供一個建立資料防護的機制。而這也是應用程式彼此之間共享資料所必需的。
這些網路詐騙的主要誘因是,詐騙簡訊及詐騙郵件、網路犯罪者所刊登的惡意網路廣告、被網路犯罪者所篡改的網站。其中,惡意廣告不僅僅會出現在成人網站及影視網站上,甚至也會出現在正規的網站上,如果你還抱持著「只要不連結上可疑的網站就安全了」的印象的話那您就太落伍了。以下讓我們看看網路詐騙的幾個代表性手法。
繼續閱讀兩款 Google Play 被下載合計超過一百萬次的條碼讀取程式,使用新的廣告詐騙技術,偽裝成條碼讀取器。雖然它的確有相關的功能,但在執行時還會同時啟動背景服務,還刻意將服務用套件名稱 以 com.facebook來加以偽裝。
這個廣告詐騙策略使用的是”假曝光”,每15分鍾快速閃爍螢幕顯示廣告,一旦廣告開啟就會立刻關閉頁面,所以肉眼只看得到畫面閃爍,這整個過程就算使用者沒使用手機且螢幕關閉時仍會發生,藉此產生欺詐性廣告收入。
惡意應用程式會在手機的最近工作列表裡使用其他已安裝應用程式的名稱和圖示,來掩護自己並嫁禍給其他安裝在手機上的應用程式。這樣當使用者產生懷疑時就可以避免被移除。
趨勢科技最近發現出現了異常行為(趨勢科技偵測為AndroidOS_HiddenAd.HRXJA)。這些行為甚至沒使用手機時也會出現。底下是一個示範影片:
