盜版 TeamViewer 內藏木馬間諜軟體,蒐集使用者電腦相關資料

TeamViewer 是一套檔案分享及通訊軟體,還能夠讓 IT 團隊用來遠端連線到企業員工的電腦。不幸的是,它強大的企業工具功能也使得它受到駭客的青睞。事實上,TeamViewer 已經被用在從帳號入侵網路釣魚攻擊等各類網路犯罪活動。趨勢科技最近調查了另一起被惡意濫用的例子。

1月20日資安研究人員發現了一個惡意網址。這網址是一個開放目錄將受害者導向一個惡意自解檔。進一步分析該自解壓縮檔後發現這是個偽裝成 TeamViewer來收集竊取資料的木馬間諜軟體(趨勢科技偵測為TROJANSPY.WIN32.TEAMFOSTEALER.THOABAAI)。當此木馬間諜軟體被下載到受害者電腦並執行後,會建立資料夾%User Temp%\PmIgYzA並放入以下檔案:

  • %User Temp%\PmIgYzA\FZhIG.ico
  • %User Temp%\PmIgYzA\config.bin
  • %User Temp%\PmIgYzA\0.0
  • %User Temp%\PmIgYzA\TV.dll(惡意程式)
  • %User Startup%\Gateway Layer 1.3957.lnk(指向被植入TeamViewer.exe的捷徑)
繼續閱讀

假銀行應用程式 SmsSecurity 變種來襲,除了竊取簡訊發送的密碼,還有更強大的隱蔽行動

新的SmsSecurity變種破解手機 濫用輔助功能和TeamViewer

在2016年1月,趨勢科技發現許多假的銀行應用程式「SmsSecurity」,號稱可以讓帳號擁有者用來取得一次性密碼(OTP)以登錄銀行;結果這些惡意應用程式,會竊取透過簡訊發送的密碼,還會接收來自遠端攻擊者的命令,控制使用者的行動設備。

延伸閱讀: 想像一下,你的銀行通知你要安裝更新版本的行動應用程式。下載應用程式後,它要求管理員權限。你所收到的通知內提到確實會出現此要求,所以你按下同意鍵。你試了一下應用程式,它運作正常。你甚至可以順利完成交易。…
當你試著想要解鎖手機時,有人已經清空了你的銀行帳戶:再次檢視Emmental犯罪行動

趨勢科技發現了加入新功能的新的SmsSecurity變種。新的功能包括:防分析能力、自動破解Android,語系偵測和利用TeamViewer進行遠端連線。此外,SmsSecurity現在也巧妙地利用Android輔助功能來進行隱蔽行動而無需透過使用者互動。趨勢科技將這些惡意應用程式偵測為ANDROIDOS_FAKEBANK.OPSA。

 

利用設備標示來防止分析

我們所看到的新變種被設計成不會在模擬器中執行。讓分析這些樣本變得更加困難。如何做到這一點?它會檢查Build.prop檔案,裡面包含了安裝在行動設備上的Android版本屬性。這些變種會檢查Build.prop中的值如PRODUCT、BRAND和DEVICE,來研判自己是在實體設備或模擬器上執行。

圖1、偵測模擬器的程式碼

 

可以看到上面的程式碼檢查可能為模擬器的「generic」設備。如果偵測到就不會執行任何惡意程式碼以躲避動態分析工具。 繼續閱讀