資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

行動憑證和開發者帳號：誰是假冒的？

2015 年 06 月 17 日2015 年 06 月 17 日趨勢科技 TrendMicro

如果企業繼續忽視他們在應用程式商店上的情況，就可能有失去客戶的風險。隨著惡意行動軟體持續成長，（Google Play上前 50 的免費應用程式,近 80％是山寨版! 恐引發個資外洩、手機中毒及金錢損失）公司和開發者還遭遇另一個來自山寨版的挑戰。

對於需要在Google Play上推出官方行動應用程式的公司來說，假應用程式可能會對信譽和營收都帶來麻煩。對使用者來說，也有類似的影響，只是較為個人。如果使用者被騙去下載這些應用程式，最終可能會導致資訊被竊、名譽受損以及對公司整體品牌和服務的不滿。

在Google Play這樣的應用程式商店上推出官方應用程式的公司對於減少使用者安裝假應用程式的風險上扮演了重要的角色。通過適當建立自己的身份和應用程式，他們可以很好地幫助使用者分辨那些是正牌應用程式，哪些是假冒的版本。例如：理想狀況下，所有的應用程式都該由同一名開發者發布，像是下列的各種趨勢科技應用程式：

圖1、Google Play上的趨勢科技程式

然而，我們也注意到有些組織並沒有做到這一點。相反地，出現多個開發者在發佈各種版本的官方應用程式。

圖2、各種銀行應用程式有著不同的開發者

為什麼會這樣？Android要求所有的應用程式都要簽章過（即使只是自我簽章）。當然，大型組織會有不同團隊負責開發不同的應用程式。可能會用不同的私鑰來來簽章開發的應用程式，即使它們會被整合在一個帳號下。此外，可能用不同帳號來上傳應用程式，即使它們全都是同一家公司。繼續閱讀

一鍵就會讓歹徒篡改Android App程式,如何運作?(含影片)

2015 年 06 月 16 日2015 年 06 月 15 日趨勢科技 TrendMicro

趨勢科技發現 Apache Cordova 應用程式框架存在一個漏洞，攻擊者只要透過點擊網址就能修改應用程式的行為。修改範圍從干擾應用程式使用者到徹底讓應用程式崩潰都有可能。

這個編號為CVE-2015-1835的高危險漏洞影響Apache Cordova 4.0.1以下的所有版本。Apache已經發布一個安全公告確認此漏洞。這代表著大多數基於Cordova的應用程式（佔 Google Play上所有應用程式的5.6%）都可能受此漏洞影響。

該漏洞被存在於Cordova的一個功能內，讓Secondary Configuration Variables（也就是偏好設定）可以由Base Activity的Intent Bundles設定。此功能是Apache在2010年11月所發布程式碼更新（也就是Github的提交）的一部分，Cordova Android也更新為0.9.3。

我們的研究顯示，如果Base Activity沒有被適當的防護且偏好設定設成預設值，攻擊者可以改動偏好設定和和竄改應用程式本身的外觀和行為。

漏洞攻擊成功的先決條件

只要符合兩個條件就能成功地利用此漏洞：

應用程式至少有一個元件延伸自Cordova的Base Activity：CordovaActivity或設定Cordova框架（像java）沒有被適當的防護，也就是說可以被應用程式外部存取。
至少一個Cordova支援的偏好設定（除了LogLevel的和ErrorUrl）未在設定檔案（xml）中被定義。

它如何運作

要了解該漏洞如何運作，要先來看看應用程式的偏好設定如何設置。繼續閱讀

DNS變更惡意軟體進入家用路由器

2015 年 06 月 16 日2015 年 06 月 10 日趨勢科技 TrendMicro

家用路由器可以被用來竊取使用者的認證憑據，只是大多數人並不知道。壞蛋們已經找到方法來用網域名稱系統（DNS）變更惡意軟體來將最不受注意的網路路由器變成他們惡意計畫裡的重要工具。

有路由器會在出貨時帶有惡意DNS伺服器設定。在這次的情況裡，惡意軟體被用來篡改路由器和其DNS設定。當使用者想連上正常的銀行網站或其他壞人設定的網頁時，惡意軟體會將使用者導到惡意版本的網頁。這讓網路犯罪分子可以竊取使用者的帳號認證憑據和密碼等資訊。

越來越多的相關惡意網站出現在巴西（佔了近88%的感染數量）、美國和日本。這些網站會在內部網路執行瀏覽器腳本來對受害者的路由器進行暴力攻擊。再藉由正確認證憑據連上管理界面，該腳本發送帶有惡意DNS伺服器IP地址的HTTP請求到路由器。一旦惡意版本設定替換掉目前的IP地址就完成了感染。除了瀏覽器暫存檔外，沒有檔案會在受害者電腦上建立，不需要使用持續性技術，沒有改變什麼。

修改DNS設定代表使用者不知道他們所要連上的是可信網站的山寨版。不變更預設密碼的使用者很容易遭受此類攻擊。

路由器 DNS惡意軟體使用暴力攻擊

DNS是轉換IP地址跟網路名稱的網際網路標準。就像是電話簿一樣將人性化的主機名稱轉換成電腦接受的IP地址。網路犯罪分子建立DNS變更惡意軟體來修改系統的DNS設定。我們在2011年就討論過DNS變更惡意軟體，當時的惡意軟體感染了400多萬台電腦來加入Esthost殭屍網路。我們參與了Ghost Click行動將這殭屍網路給剷除。繼續閱讀

安裝竊聽器,落伍了! 你親手安裝的手機app,可能會自動幫你打開麥克風錄音(第一季資安綜合報告新戰術分析)

2015 年 06 月 15 日2015 年 06 月 17 日趨勢科技 TrendMicro

惡意廣告會感染網站或廣告網路，使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染

在過去，間諜會在聚會的房間裡安裝竊聽器以記錄談話。如今，網路犯罪分子可以透過社交工程來在手機上安裝應用程式以打開麥克風，進而記錄任何談話。

在趨勢科技最近的2015第一季資安綜合報告中，趨勢科技的威脅研究人員強調了許多正在影響我們的最新威脅。惡意分子在積極地尋找新方法來攻擊受害者並且尋找可以關注的新目標。讓我們來看看一些最近的威脅以及你可以如何加強防護來對抗它們。

惡意分子在全球增長:中國和俄羅斯仍然佔了大宗

趨勢科技針對地下世界活動的研究中，找到許多網路犯罪分子所使用的新工具和技術，越來越多非傳統地區日趨活躍。中國和俄羅斯仍然佔了大宗，但我們現在也看到來自巴西和非洲的惡意分子。很大的原因是進行網路犯罪很容易，只需要有一台電腦跟連上網路。深層網路內讓人開始駭客生涯的工具也變得更加易用和便宜，讓新手很容易就可以變成網路犯罪分子。在今年，趨勢科技會繼續發表關於中國、俄羅斯和巴西地下市場的新數據，再加上美國及日本的資訊，好讓讀者對這些地下世界如何運作有深入的了解。我們利用這些資訊來開發產品所使用的新技術，保護客戶免受這些最新威脅的影響。

攻擊中所使用的新戰術

在第一季內我們看到一些新戰術被使用，讓惡意分子可以確保受害者更容易被攻擊成功。在這裡強調一些重點：

惡意廣告：這些威脅很有挑戰性是因為它們會感染網站或廣告網路，讓受害人會連到惡意網站來遭受感染。使用者通常不知道中毒是來自網站所提供的廣告。在某些案例裡，使用者甚至不需要點擊廣告就會被感染。惡意分子也利用零時差漏洞來提高感染數量。
針對此一威脅的最好防護是確保你啟用網頁/網域信譽為評比技術（如趨勢科技所提供）來在這些廣告或惡意網站感染使用者前先加以封鎖。我們的端點解決方案所使用的新漏洞防護技術也可以主動地封鎖帶有漏洞攻擊碼（甚至是零時差漏洞）的網站。
勒索軟體 Ransomware和加密勒索軟體：這類威脅在黑洞漏洞攻擊包（被用來散布這類威脅）作者Paunch被捕後又捲土重來。我們看到很多加密勒索軟體的新變種和家族，同時看到網路犯罪分子開始針對企業團體（中小企業和大型企業）。受害者往往會支付贖金，因為其所用的加密技術無法被破解，惡意分子會在收到付款後送出解密金鑰。
我們並不認可這種做法，並建議使用者要使用良好的備份解決方案，可以在中毒後重建系統。最好的防護是防止此威脅進入。幾乎所有的勒索軟體都是透過電子郵件散播，無論是透過附加檔案或內嵌的連結。
趨勢科技建議要遵循良好的電子郵件實作，但我們同時也開發了新技術以提高偵測率。電子郵件沙箱技術（Deep Discovery Email Inspector，InterScan Messaging，ScanMail）可以在郵件遞送給使用者前先加以辨識。OfficeScan 11 SP1內建了新的勒索軟體 Ransomware偵測技術。InterScan Messaging具備社交工程（social engineering ）防護以辨識攻擊所使用的網路釣魚（Phishing）郵件。

繼續閱讀

16-21歲中國青年做起行動勒索軟體生意,上千變種地下市場流傳

2015 年 06 月 15 日2015 年 06 月 15 日趨勢科技 TrendMicro

一群新生代網路犯罪集團正在中國崛起，他們比經驗老道的前輩們更膽大包天、更肆無忌憚。這些人都是 90 年之後出生，這群青年完全不怕被抓，不怕在網路上留下可被追查的聯絡資訊。他們會互相搜尋並分享現成的程式碼，然後再製作出屬於自己的惡意程式。正因為這一批人，中國地下市場一下子突然充斥著各種行動勒索軟體 Ransomware 。