Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制

趨勢科技在Google Play上發現有多達340個應用程式夾帶會自動點擊廣告的軟體GhostClicker(ANDROIDOS_GHOSTCLICKER.AXM),其中一個“阿拉丁冒險世界(Aladdin’s Adventure’s World)”被下載了500萬次, 而且評價高達4顆星。這些含有廣告軟體的應用程式涵括:休閒遊戲、設備效能工具(如清理工具和加速工具)和檔案管理程式、QR和條碼掃描程式、多媒體錄放程式、設備充電和GPS/導航相關應用程式。這些程式出現在台灣、東南亞及巴西、日本、俄羅斯、義大利和美國。

雖然大多數應用程式都已經下架,到2017年8月7日止還有101個夾帶GhostClicker的應用程式可以下載。

GhostClicker 會將自己隱藏在Google行動服務(GMS,Google最熱門應用程式和應用程式介面(API)組合),也會隱藏在Facebook廣告的軟體開發套件(SDK)。將自己嵌入到這兩個服務,皆以“logs”為名,可能是怕偽裝成合法應用程式元件比較容易引起懷疑。

《阿拉丁的冒險世界》被發現嵌有GhostClicker惡意廣告機制,下載次數超過500萬次,目前已被Google Play下架。
圖1:《阿拉丁的冒險世界》被發現嵌有GhostClicker,下載次數超過500萬次

 

隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼
圖2、隱藏在GMS或Facebook廣告SDK的GhostClicker程式碼

 

 

GhostClicker企圖躲避撒箱偵測

Continue reading “Google Play 上 340款應用程式,嵌有GhostClicker惡意廣告機制”

Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高

Android手機用戶請小心, Google Play商店中可能有多達400種應用程式帶有某個稱為「DressCode」家族散播的木馬病毒,恐導致個資外洩。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

行動裝置威脅在最近幾個月的時間之內急速成長,趨勢科技行動裝置應用程式信譽評等服務 (Mobile App Reputation Service,簡稱 MARS) 截至 2016 年 8 月為止,已偵測到 1,660 萬個行動惡意程式,較一月份偵測的數量大幅成長 40%。Android 平台依然特別容易遭到攻擊,尤其,某個稱為「DressCode」的家族從四月份起便一直暗中持續散布,直到八月才有相關報導出現。此惡意程式會讓駭客經由遭感染的裝置入侵裝置所連接的網路,因此,若裝置連上的是企業網路,其威脅將不言而喻。

趨勢科技將此惡意程式命名為 ANDROIDOS_SOCKSBOT.A,並且至少發現了 3,000  個遭此惡意程式木馬化的應用程式。這些木馬化程式曾出現在多個知名的 Android 應用程式市集,在 Google Play 商店也偵測到 400 多個。由於惡意程式碼只占應用程式的一小部分,因此偵測不易。被感染的程式從休閒類應用程式如遊戲、外觀套件、主題套件,到手機優化程式等等涵蓋廣泛。趨勢科技曾在九月份通知 Google Play 這項威脅,該公司也已採取適當行動,將受感染的應用程式下架。

圖 1:根據 Google Play 上的資料,該程式的安裝數量在 100,000 至 500,000 之間。 Continue reading “Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高”

DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!

如果接獲國際快遞公司 DHL 的名義來電,宣稱有一個包裹待領,要求提供護照,銀行相關資料等敏感個資料或聲稱包裹內有違法物品(假護照或武器之類的),或要求安裝應用程式,以便「檢查」包裹,得提高警覺。

近日新加坡居民接到了許多上述假冒快遞服務的電話,為此,DHL 新加坡分部特別在其 Facebook 網頁張貼一份公告來提醒社會大眾小心這類詐騙,此外當地政府也提醒大眾保持警戒。

諸如此類的詐騙,其實已不是頭一遭。2014 年,中國也出現過類似的詐騙,歹徒假冒的是中國境內最大的快遞公司之一:順豐速運。前面提到歹徒會要求受害者提供銀行相關資料,歹徒正是希望透過這個應用程式來攔截網路銀行發出的認證簡訊以取得認證碼,這是行動惡意程式常見的一貫伎倆。根據趨勢科技的分析,此惡意程式的程式碼似乎是取自某個曾在 2015 年攻擊過中國使用者的惡意程式。

惡意行為

以下是該應用程式當中用來攔截使用者簡訊的程式碼。

圖 1:攔截簡訊的程式碼。 Continue reading “DHL 來電:” 你的包裹內有違法物品,請安裝這個以方便「檢查」”當心你的個資!”

百度音乐,手机百度,凤凰视频,爱奇艺PPS…Moplus SDK 的問題延燒到非百度應用程式

百度自製Moplus SDK被發現有後門漏洞-蟲洞(Wormhole),影響14,000款APP,以及上億台Android裝置!只要Android裝置連上網路,駭客就有機會在你不知不覺的情況下,透過漏洞傳送釣魚網站,假訊息,下載惡意檔案、應用程式或APP到你的終端裝置(手機或平板),傷害裝置或竊取資訊。

受影響的百度開發APP,其中不乏受歡迎的APP,如愛奇藝、PPS等。趨勢科技持續進行研究,本來認定漏洞僅限在百度所開發的APP,最新發現有些「非百度」APP也受到波及,如汽车之家 (com.cubic.autohome),凤凰视频 (com.ifeng.newvideo)…等等。

目前約有4,000多個百度開發APP,常被預載在小米、華為、InFocus等手機或平板中。

 

趨勢科技最近探討了 Moplus SDK 的後門行為以及相關的 Wormhole 漏洞,,影響14,000款APP,以及上億台Android裝置!由於 Moplus SDK 是由百度所開發,而且並非公開供人下載,因此我們一開始認為這問題應該只侷限於百度所開發的應用程式而已。沒想到,趨勢科技最新的研究發現,一些非百度開發的熱門應用程式也同樣遭殃。

Mobile 手機 駭客

逐漸擴大的衝擊

根據趨勢科技的掃瞄發現,超過 14,000 個各類行動裝置應用程式的樣本都有此問題,包括同一個程式的多個不同樣本 (以安裝套件名稱為準) 都有問題。目前總共有 684 個不同應用程式的樣本含有此問題,包括一些熱門應用程式在內,例如:百度地圖和手機百度 (Baidu Searchbox)。下表顯示網路上問題樣本最多的前 20 個行動裝置應用程式:

安裝套件名稱 最高版本 蒐集到的樣本數
com.qiyi.video 6.1.2 1576
com.baidu.video 7.9.1 1398
com.baidu.BaiduMap 8.7.0 1307
com.baidu.browser.apps 6.2.16.0 1140
com.baidu.appsearch 6.6.2Beta 1100
com.nd.android.pandahome2 8.2.2 777
com.hiapk.marketpho 6.6.1.81 715
com.android.comicsisland.activity 3.3.10 690
com.baidu.hao123 6.1.1.0 642
com.baidu.searchbox 6.0.1 458
tv.pps.mobile 4.0.0 452
com.mfw.roadbook 5.8.6 417
com.tuniu.app.ui 6.0.7 407
com.ifeng.newvideo 6.9.6 392
com.baidu.netdisk 7.9.0 381
com.quanleimu.activity 6.1.1 329
com.dragon.android.pandaspace 6.6.1.91 322
com.yuedong.sport 3.1.1.4.159 318
com.dongqiudi.news 3.4.6 301
air.fyzb3 5.7.3 286

表 1:問題樣本最多的應用程式。

應用程式商店也受影響

在 Google Play 上,百度絕大多數的程式都已無此問題。但仍有一個應用程式還含有惡意程式碼,那就是:百度音樂。根據百度提供的資訊,該公司已不再維護該程式,因此該程式下星期將從 Google Play 下架。趨勢科技還發現另一個非官方應用程式 (央视影音) 也還含有此問題。


Continue reading “百度音乐,手机百度,凤凰视频,爱奇艺PPS…Moplus SDK 的問題延燒到非百度應用程式”

Google Play 上的兩款遊戲可將 Android 裝置解鎖

圖 1:Google Play 上的 RetroTetris 惡意遊戲。

Android 惡意程式最近也蔓延到遊戲當中。趨勢科技發現兩個 Google Play 上的惡意遊戲可以將Android 裝置解鎖 (root)。如果您對 Brain Test 和 RetroTetris 這兩個遊戲有印象的話,那麼趕快檢查一下自己的裝置看看。
RetroTetris 可支援的 Android 版本從 2.3 Gingrebread 起,而 Brain Test 可支援的版本則是從 2.2 Froyo 起。Brain Test 遊戲已在 9 月 24 日從 Google Play 下架。至於 RetroTetris,我們已將問題通報給 Google Play 的資安團隊,目前正在等候回音。

RetroTetris
RetroTetris 偽裝成熱門經典遊戲 Tetris 的復刻版。根據趨勢科技估計,它大約感染了 500 至 1,000 台 Android 裝置,絕大多數位於中國。

它首度現身 Google Play 的日期是 8 月 21 日。不過這款遊戲在官方商店以外的地方也找得到。根據我們進一步的監控資料,以下非官方應用程式商店也曾出現它的蹤跡 (當然還不只這些):

  • Appszoom:http://cn.{BLOCKED}om.com/android-game/retrotetris-ppwst.html
  • 豌豆荚:http://www.{BLOCKED}jia.com/apps/com.antdao.tetris
  • 应用宝:http://{BLOCKED}d.myapp.com/myapp/detail.htm?apkName=com.antdao.tetris
  • 360Market:http://{BLOCKED}u.360.cn/detail/index/soft_id/2911263
圖 2:從網路上安裝惡意 App 的程式碼。

這個遊戲會發送指令到 RootGenius SDK 的 startRootRunScript 功能。此 SDK 會進一步從網路上下載漏洞攻擊套件,視 Android 版本和其他條件而定。這些漏洞攻擊套件可讓程式取得裝置的管理員 (root) 權限。

 

Rootkit CVE 漏洞編號
FramaRoot CVE-2013-6282
TowelRoot CVE-2014-3153
GiefRoot CVE-2014-7911 和 CVE-2014-4322
PingPongRoot CVE-2015-3636

表 1:RetroTetris 從網路上下載的 Rootkit 攻擊套件和所攻擊的漏洞

圖 3:惡意工具與惡意遊戲的程式碼有諸多相似之處。

經過進一步的分析,我們找到了一個與 RetroTetris 相關的網站 (shuame.com),裡面提供了兩套可解鎖 Android 裝置的工具。其中一個工具的程式碼與這款遊戲的程式碼很像,因此我們判定架設該網站的人應該與 RetroTetris 的作者有相當淵源。

Brain Test
Brain Test 假冒成一個腦力測試的遊戲,包括讓您的「左腦」和「右腦」互相比較,您必須在一分鐘內解出問題。聽起來是不是很有挑戰性?這就是程式作者 8 月 8 日在 Google Play 推出該遊戲 (安裝套件名稱:com.mile.brain) 時的誘餌,隨後又升級至一個含有奇虎 (Qihoo) Android 包裝程式的版本。
Google 在 8 月 26 日將第一個版本從商店下架,但作者又在 9 月 10 日發布了另一個版本 (安裝套件名稱:com.zmhitlte.brain),這次使用的是百度包裝程式。此程式又被 Google 逮到,並於六天之後,也就是 9 月 16 日將它下架。不過,作者又再次嘗試將 App 名稱改成「Brain Test HD」(安裝套件名稱也改成:com.fjsc.brainhd)。此版本同樣在 9 月 24 日遭到 Google Play 下架。
該遊戲一旦進入裝置,就會再下載並安裝其他惡意應用程式,並且會將裝置解鎖 (root),讓它能夠執行任何惡意程式碼。它在 9 月 11 至 25 日這段期間大約感染了 10,000 多台裝置。這些裝置大多集中在印度、菲律賓、印尼、俄羅斯和台灣。我們相信,即使這個惡意程式已經從 Google Play 下架,但應該還是有些存在於受害者的裝置中。

圖 4:Brain Test 惡意遊戲在 Android 裝置上的圖示。

Brain Test 會連上某個網站 (s.psserviceonline.com ) 來進行一些惡意活動。此外,我們也發現另有 385 個未在 Google Play 上架的惡意程式也會連上同一個網站,以下列舉幾個範例:
• com.{BLOCKED}e.mp3.music
• com.as.{BLOCKED}b.downloader
• com.gl.{BLOCKED}e.wallpaper
• com.{BLOCKED}ot.master
• com.sex.{BLOCKED}on.superman
• com.sex.{BLOCKED}on.xman
• com.{BLOCKED}d.save.battery
• com.{BLOCKED}c.sms

解決之道和偵測資訊
趨勢科技已經能夠保護客戶不受這兩項威脅的危害。Android 裝置使用者在從各種來源下載 App 的時候都應特別小心謹慎,不論 Google Play 商店和非官方應用程式商店都一樣。此外,您也可以安裝一套行動裝置防護軟體,如趨勢科技行動安全防護 (TMMS) ,就能藉由行動裝置應用程式信譽評等服務來偵測 RetroTetris 和 Brain Test 的 Rootkit 行為。這套防護可偵測那些蒐集及可能竊取私人資訊的行為並即時加以攔截。
以下是此次相關威脅的 SHA1 雜湊碼:
RetroTetris
• ae041578acbf41d1ed0ef5393296a28cea24663a
• 6f3192b73d03bb0c1fcdfeffafc7826da12fde5a
在 shuame.com 上偵測到的惡意程式:
• AndroidOS_ShuaMe.A,
• AndroidOS_ShuaMe.HRX
• AndroidOS_ShuaMe.HRXA
• AndroidOS_ShuaMe.HRXB
• AndroidOS_ShuaMe.HRXC
• AndroidOS_ShuaMe.OPS
• AndroidOS_ShuaMe.OPSA
• AndroidOS_ShuaMe.OPSB
• AndroidOS_ShuaMe.OPSC
• AndroidOS_ShuaMe.OPSD
• AndroidOS_ShuaMe.OPSE
Brain Test
• bfef4bcc1ee7759a7ccbbcabd9d7eb934a193216
• daf0b9a8ad003e2a10a6216b7f5827114a108188
• AndroidOS_IDownloader.A
• AndroidOS_FakeInst.A

原文出處:Two Games Released in Google Play Can Root Android Devices作者: Wish Wu 和 Ecular Xu

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 


【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

Windows10Banner-540x90v5

 

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

行動憑證和開發者帳號:誰是假冒的?

如果企業繼續忽視他們在應用程式商店上的情況,就可能有失去客戶的風險。隨著惡意行動軟體持續成長,(Google Play上前 50 的免費應用程式,近 80% 是山寨版! 恐引發個資外洩、手機中毒及金錢損失)公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說,假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說,也有類似的影響,只是較為個人。如果使用者被騙去下載這些應用程式,最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式,他們可以很好地幫助使用者分辨那些是正牌應用程式,哪些是假冒的版本。例如:理想狀況下,所有的應用程式都該由同一名開發者發布,像是下列的各種趨勢科技應用程式:

圖1、Google Play上的趨勢科技程式

然而,我們也注意到有些組織並沒有做到這一點。相反地,出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣?Android要求所有的應用程式都要簽章過(即使只是自我簽章)。當然,大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式,即使它們會被整合在一個帳號下。此外,可能用不同帳號來上傳應用程式,即使它們全都是同一家公司。 Continue reading “行動憑證和開發者帳號:誰是假冒的?”

< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK

有報導指出Google從Play商店上移除了三個應用程式(Google removed three apps) ,因為發現它們是由廣告軟體所偽裝。根據應用程式商店的資料,這些應用程式在發現時已經被下載到數百萬台的設備上。然而,這些並非唯一擁有類似行為的應用程式。在三月初的調查時,趨勢科技的研究人員認為Google Play上有超過2,000個應用程式有類似的行為。不過,這個數字已經減少到數百或以下。

手機

廣告軟體 MDash

這個廣告軟體被偵測為ANDROIDOS_ADMDASH.HRX,是整合到那些應用程式的SDK(軟體開發套件)。雖然它有時也被稱為「MobiDash」,不過我們在本文中將此廣告軟體稱為「MDash」。令人費解的是,我們的研究沒有真正發現關於此SDK的可用資訊。極有可能此SDK是在私底下發表,這跟知名廣告軟體商有著鮮明的對比,後者經常會公開發布並促使應用程式整合其SDK以賺取更多錢。

如果SDK是在私底下發表,那它是如何到達應用程式開發者手上?很有可能是因為它是發表在地下論壇。

 

檢視MDash程式碼

為了分析MDash,我們選擇一個應用程式,套件為com.zigzag.tvojdekor。這是一個俄羅斯的應用程式,已經從Google Play的生活時尚類別移除。趨勢科技檢查此應用程式後發現,廣告軟體SDK MDash被精心開發和良好地維護著。

 

圖1、有MDash SDK的應用程式範例

 

圖2、MDash SDK原始碼結構

Continue reading “< App /應用程式 > 廣告和廣告軟體間的模糊地帶:檢視廣告軟體 MDash SDK”

假 Android漏洞「掃描程式」暗藏玄機

Android安裝程式劫持漏洞,成為惡意軟體誘餌

Android 行動用戶要注意了,出現了一個被稱為「Android安裝程式劫持漏洞」的Android臭蟲。這漏洞可以讓網路犯罪分子將正常的應用程式置換或修改成惡意版本用來竊取資料。鑑於此一漏洞的嚴重性,我們決定尋找會利用此一漏洞的威脅。

一個掃描程式可用來檢查自己的行動設備是否受到這個Android安裝程式劫持漏洞的影響。使用相關的關鍵字後,趨勢科技發現有三個網站在宣傳針對此Android漏洞的「掃描程式」,有的甚至冒用真正掃描程式的名稱。

 

第一個網站

第一個網站提供兩個選項來下載掃描程式APK檔案。點擊任何一個都會在被重新導到Google Play上的正式掃描程式網頁前先導到另一個網站。

 

圖1、第一個網站透過兩個選項來「提供」掃描程式

 

如果有人點入該網站的其他部分會發生什麼事?會在新頁籤載入一個新網站。這些網站從問卷調查到所謂的軟體更新都有。此外,會自動下載一個檔案到行動設備上。在我們的研究過程中,可以下載三個檔案:

  • apk – 偵測為ANDROIDOS_SMSPAY.FCA,這是一種加值服務簡訊濫用程式
  • vShareMarket_​​1.5.9_yeahmobi.apk – 偵測為A,這是個廣告軟體
  • 63_1631_03201923.apk – 這是個正常的應用程式

 

第二個網站

「持續」是用來描述第二個網站行為的最佳字眼。在被重新導到一個不同網站後,使用者會遇到一個彈跳視窗,就算點擊「OK」按鈕也不會讓它消失。關閉瀏覽器不會解決彈跳視窗的問題,也不會清除記憶體。重新打開瀏覽器之後還會出現相同的頁籤。要特別指出的是,並不會下載檔案到行動設備上。

 

圖2、第二個網站(左)和持續跳出的視窗(右)

Continue reading “假 Android漏洞「掃描程式」暗藏玄機”

4.7 分評價,下載達萬次的熱門app ,為何被 Google Play 下架?

隨著行動裝置使用者數量不斷成長,針對使用者而開發的 App 程式亦然。 然而,網路犯罪者總是追著錢跑,因此專門鎖定行動裝置和行動使用者的攻擊數量也將不斷增加。這正是為何行動裝置威脅越來越多,包括惡意程式和假 App 程式。事實上,在正牌的行動 App 程式或 PC 程式推出之後,通常很快就能發現冒牌的 App 程式。

手機 假防毒軟體 Fake app

本文深入探討今日的假 App 程式,特別是重新包裝的 App 程式 ─ 這些遭到篡改 (如插入或刪除程式碼) 的 .APK 檔案,通常含有未來可從事惡意用途的功能。1 冒牌的 App 程式通常使用與對應正牌程式非常相似的使用者介面 (UI)、程式圖示和名稱。這些程式通常出現在第三方應用程式來源,例如網路論壇和網站,有些甚至也出現在 Google Play™ 官方網站。這些程式會在被檢舉為惡意程式或侵權軟體之前盡可能供更多人下載。為了散布,網路犯罪者通常會利用各種社交工程(social engineering )技巧來誘騙使用者下載假 App 程式。

假 App 程式,冒充正牌程式,50% 都有惡意行為

根據一項針對 Google Play 商店前 50 大熱門免費 App 程式的調查顯示,幾乎 80% 的程式都有對應的假冒版本 (參見圖 1)。這些 App 程式在 Google Play 上涵蓋了相當廣泛的類別,包括:商業、媒體與影片、遊戲等等。

1
圖 1:在 Google Play 上擁有和沒有對應假冒版本的 App 程式。

個別 Google Play 類別前十大熱門程式有假冒版本的比例如下 (參見圖 2):

 

2圖 2:個別 Google Play 類別熱門 App 程式分析。

假 App 程式通常不單只是模仿正牌的 App 程式而已,更可能是高風險程式或惡意程式。

截至今年四月為止,在我們從各種來源發現的 890,482 個假 App 程式樣本中,有 59,185 個是越權廣告程式,另有 394,263 個為惡意程式。在所有假 App 程式當中,有 50% 以上懷有惡意 (參見圖 3)。

2
圖 3:所有假 App 程式當中惡意與非惡意的比例。

假冒 Bitdefender的假防毒軟體:

假裝掃瞄宣稱裝置受到感染,藉此誘騙使用者購買完整付費版本

假防毒軟體可說是行動裝置威脅當中最常見的假 App 程式,例如 2012 年早期出現、專門攻擊 Android 裝置的 FAKEAV。緊接著 2013 年又爆發了另一波行動裝置的 FAKEAV 惡意程式,例如假冒 Bitdefender® 的 ANDROIDOS_FAKEAV.F 變種 (參見圖 4)。3 這個假App 程式假冒 Bitdefender 的名義,要求使用者在安裝時使用系統管理員權限來安裝,如此一來就更難移除。如同電腦上的假防毒軟體一樣,該程式會假裝掃瞄裝置,然後宣稱裝置受到感染,藉此誘騙使用者購買其完整付費版本。
4圖 4:ANDROIDOS_FAKEAV.F 運作畫面。

獲得 4.7 分評價的假防毒軟體「Virus Shield」,累計下載次數高達 10,000 次,原來是殭屍電腦下載的

較近期的假防毒軟體案例是前一陣子的「Virus Shield」,該程式還獲得 4.7 分的評價,而且累計下載次數高達 10,000 次,其中大部分都是殭屍電腦所為。此程式早已被 Google 下架。

不過,仍有數千人受其專業的外表以及宣稱的功能所騙,例如:防止裝置安裝惡意
App 程式、可即時掃瞄 App 程式、設定、檔案及多媒體內容、保護個人資訊安全等等。它甚至還登上 Google Play 熱門付費程式排行榜,售價 $3.99 美元 (參見圖 5 和圖 6)。但在經過深入研究之後,其宣稱的所有功能都是假的,因此是個不折不扣的假防毒軟體。

圖 5:Virus Shield 在 Google Play 上的購買畫面。
6圖 6:Virus Shield 在下架之前確實曾經登上 Google Play 熱門付費程式排行榜。 Continue reading “4.7 分評價,下載達萬次的熱門app ,為何被 Google Play 下架?”

Google Play上前 50 的免費應用程式,近 80% 應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失

2014814日台北訊】隨著行動裝置使用者數量不斷成長,山寨App數量也以驚人的速度竄升。根據針對 Google Play 商店前 50 大熱門免費 App 調查顯示高達80% 應用程式皆有對應的假冒版本,其中以小工具、影片及財經類別App擁有假冒版本的比例竟達100%!趨勢科技建議,為避免行動裝置威脅,使用者請務必從信任的來源下載程式,並安裝有信譽的行動防護程式如趨勢科技安全達人』免費App,以保障自身的行動裝置安全。

Google Play上前 50 的免費應用程式,近 80% 是山寨版! 恐引發個資外洩、手機中毒及金錢損失

 趨勢科技研究發現,截至2014年四月,在890,482 個山寨App樣本中,有 59,185 個是越權廣告程式,另有 394,263 個為惡意程式;而在所有山寨App 中,有 50% 以上懷有惡意。目前山寨版App可分為兩大類型,其一為「假 App 」,其中又以假防毒App為最大宗。以「Virus Shield」為例,號稱可即時掃描、保護個資,售價3.99美元,曾在Google Play獲得 4.7 分的評價,上線一周即吸引超過一萬次下載量,但該App遭踢爆不具備任何防護功能,經查證下載量多為殭屍電腦操縱成果,縱使被 Google 下架, 卻仍造成數千人受騙並造成金錢損失。

 fake app1 Virus Shield 在 Google Play 上的購買畫面。

                                1Virus Shield Google Play 上的購買畫面。

 

山寨App另一類型則為「重新包裝的 App 」,仿冒熱門App吸引使用者下載。其中的「木馬化 App」手法,將 App 程式重新包裝從事惡意用途,已逐漸成為網路攻擊常態,其中以熱門遊戲App、金融類App與即時通訊 App最常成為重新包裝的對象。

熱門遊戲App

以2014 第一季最熱門遊戲App之一「Flappy Bird」為例,累計下載次數突破5,000 萬次,該遊戲的突然下架引發網友大量討論,吸引網路犯罪者推出「Flappy Bird」木馬化版本;其中一個木馬化版本會要求使用者允許開發者發送簡訊,導致使用者電信通訊費用帳單因而突然飆高。

 

fake app2 木馬化 Flappy Bird 發送的高費率簡訊範例。 2:木馬化 Flappy Bird 發送的高費率簡訊範例。

 

金融類App

遭木馬化的銀行App常見的被攻擊手法為將知名金融機構的 Google Play 應用程式移除,並換上木馬化版本,竊取受害者的金融相關資訊以協助歹徒發動網路釣魚攻擊,造成使用者重大損失。

fake app3南韓某銀行 App 的木馬化版本畫面。 3:南韓某銀行 App 的木馬化版本畫面。

即時通訊 App

而即時通訊木馬App最知名的案例則為BlackBerry® Messenger(BBM),在 BlackBerry 將其程式上架至Google Play 之前,網路上竟然出現一些木馬化的 BBM 版本,利用 Android 版 BBM 即將上市的預期心理,讓其重新包裝的程式獲得 100,000 次下載;然而這些程式會出現越權廣告程式的行為,因 此遭 Google Play 下架。

fake app4假冒的 Android 版 BBM 程式在 Google 商店的下載畫面。 4:假冒的 Android BBM 程式在 Google 商店的下載畫面。

趨勢科技資深技術顧問簡勝財表示:「在山寨App中,有相當大的數量為內藏有惡意程式,不僅容易引發個資外洩,更有可能造成金錢上的損失。建議使用者從信任的平台下載App程式並安裝有信譽的資安防護軟體。趨勢科技『安全達人』免費App擁有自動防護與掃描功能,可協助阻擋用戶下載具有惡意威脅的應用程式,為用戶的手機資安做最全面把關!」

重新包裝的假應用程式和它對行動威脅環境的影響

重新包裝(Repackaged)的應用程式是一種假應用程式,它對行動惡意軟體的氾濫起了關鍵的作用。跟假應用程式一樣,重新包裝應用程式利用社交工程伎倆,顯示出想偽造的正常/官方版本類似的使用者界面(UI)、圖示、套件名稱和應用程式標籤。這樣做是為了誘騙使用者下載假應用程式來產生利潤。

fake app

根據研究,Google Play上前50的免費應用程式中有近80%有偽造的版本。這些應用程式包括了商業、多媒體和影片、遊戲等類別。此外,今日有超過一半的假應用程式被標示為「高風險」和「惡意」,因為它會對使用者造成危害。

圖一:在Google Play上有偽造版本和沒有偽造版本的免費應用程式

Continue reading “Google Play上前 50 的免費應用程式,近 80% 應用程式皆有對應的山寨版本! 恐引發個資外洩、手機中毒及金錢損失”