近期 Android 的應用程式上藏有部分惡意程式,它們有些是駭客們在一般的應用程式上安裝惡意代碼,因此很難被開發者和用戶察覺,其中部分下載量甚至已達到 1,000,000 次。而這些惡意程式大多被用來竊取用戶個資,或監視用戶並損害他們的隱私。
Android 惡意程式
FluHorse:
資安業者 Check Point 近期揭露該惡意程式具有多個模仿合法 App 的惡意 Android 應用程式,其中大多數安裝量超過 1,000,000 次。FluHorse 自 2022 年 5 月開始以網路釣魚的手法偽裝成遠通電收 ETC、越南大型銀行 VPBank NEO 的 App 寄送惡意郵件,謊稱收信人要儘速處理付款異常的問題,引誘他們下載帶有 FluHorse 的惡意 App,而後這些 App 會請求受害者的 SMS 權限並提示用戶輸入他們的密碼和信用卡訊息來完成付款,這些信息隨後都會在後台洩露到 C&C 服務器,駭客會濫用受害者 SMS 消息的訪問憑證和雙因素驗證(2FA) 代碼。
有趣的是,FluHorse 依賴 Flutter 作為開發平台, Flutter 工具是使用特製的虛擬機器(VM, Virtual Machine),協助開發者能打造適用於不同作業系統的 GUI(圖形使用者界面, Graphical User Interface) 元件,而使得研究人員分析以此開發的 App 變得相當複雜。FluHorse 除了多個窗口副本以提高受害者輸入可能性,程式中並沒有添加額外的功能或檢查,也許駭客們並沒有在他們創建的程式碼中投入太多精力,又或者他們可能故意這麼做,以降低被檢測到的機會,這也使 FluHorse 更難被發現。
圖片來源:https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/
另外 Check Point 也提醒大家,根據惡意應用程序的類型(針對電子收費、銀行或交友軟體使用者),可能不需要憑證或信用卡號就可獲取隱私資訊。
在研究這些惡意應用程序的感染鏈後,發現收件者包含多個知名大型企業員工和政府部門人員。而關於惡意 App,遠通電收在 5 月 5 日也提出警告,指出不明人士透過簡訊聲稱國道通行費尚未付款,要求下載山寨 App 進行詐騙,呼籲民眾繳費前要先行查詢、確認。
Lemon Group
一家名為 Lemon Group 的大型網路犯罪企業在近 900 萬部 Android 的智能手機、手錶、電視和電視盒上預裝了名為 Guerilla 的惡意程式。這個惡意程式可以將這些設備變成移動代理以及通過廣告和點擊欺詐獲利的工具。它會加載額外的有效負載,從 SMS 攔截一次性密碼,並從受感染的設備設置反向代理,還可能劫持 WhatsApp 訊息。Guerilla 目前遍及全球 180 多個國家/地區,超過 50 個品牌的移動設備受到名為 Guerilla 的惡意程式的破壞。
根據 Trend Micro 的說法, Guerilla 目標是出售受感染 Android 手機用戶,這些手機資訊可能被用來創建垃圾郵件帳號來進行詐欺。
Lemon Group 藉由 Guerilla 發展以下業務:
1. 代理插件:用於從受感染的手機設置反向代理,並允許其他參與者出租對受影響移動設備的網絡資源的訪問權限
2. 用於收集用戶的 Facebook cookie 和其他個人資料信息的 Cookie 插件
3. WhatsApp 插件:劫持訊息並發送不需要的消息
4. 啟動某些應用程序時投放未經授權廣告的 Splash 插件,以及靜默插件,用於偷偷安裝 APK 文件並啟動應用程序
趨勢科技目前沒有透露 Guerilla 是如何感染設備,以及它們如何在市場上銷售以及哪些品牌受到影響。
iRecorder:
Google 已從 Google Play 商店中刪除了一款名為「iRecorder - Screen Recorder」的屏幕錄製應用程式,因為在該應用程式作為無害應用程式發布近一年後被發現偷偷竊取用戶信息。
該應用程序(APK 包名稱“com.tsoft.app.iscreenrecorder”)於 2021 年 9 月 19 日首次上傳,累計安裝量超過 50,000 次。惡意功能被認為是 2022 年 8 月 24 日發布的 1.3.8 版本中引入的,該功能包含一個 AhMyth 的 Android 遠程訪問木馬 (RAT) ,它可從 Android 設備訪問用戶信息數據,1.3.8 版本洩露具有特定擴展名和麥克風錄音的文件,並將它們上傳到駭客的 C2 服務器。
雖然市面上惡意的 Android 應用程式大量存在,但合法應用的程式添加惡意代碼的情況卻較少,這可能代表 iRecorder 有潛在竊取用戶資訊的動機。因為此惡意代碼基於 AhMyth Android RAT,所以被研究人員命名的為 AhRat。儘管沒有證據表明該活動與任何已知的駭客集團有關,但 AhMyth 之前曾被Transparent Tribe 用於攻擊南亞國家。
iRecorder 的案例是將應用程式的干淨版本上傳到 Google Play 商店以建立用戶之間的信任,然後在稍後階段通過應用程序更新添加惡意代碼,以達到通過應用程序審查的目的。它說明最初合法的應用程式如何轉變為惡意應用程式,並且會在下載數月之後,用於監視用戶並損害他們的隱私。
結論與建議
為了促進對其產品領域產生更大影響並保護用戶安全, Google 通過了移動弱點獎勵計劃 (Mobile VRP) 來增強了 Android 應用程序的安全性。此計畫旨在鼓勵研究人員和安全專家發現和報告 Google 開發或維護中的 Android 應用程序中的漏洞,獎勵金最高可達 15000 元美金。他們相信藉由這個計畫,可以維護用戶的信任並保護敏感的數據資訊。
雖然 App 會透過更新版本來解決程式中的漏洞,但使用者可以透過下載應用程式前仔細檢查評價和評論,使用安全軟體進行實時掃描,限制應用程式權限,定期檢查應用程式權限設置,並避免點擊不明連結。綜合使用這些方法能夠最大限度地減少惡意代碼對用戶的威脅。
參考資料:
安卓惡意程式FluHorse鎖定臺灣、越南用戶的雙因素驗證碼、密碼而來
(9 May 2023)
-https://www.ithome.com.tw/news/156783
EASTERN ASIAN ANDROID ASSAULT – FLUHORSE (5 May 2023)
-https://research.checkpoint.com/2023/eastern-asian-android-assault-fluhorse/
This Cybercrime Syndicate Pre-Infected Over 8.9 Million Android Phones Worldwide (18 May 2023)
-https://thehackernews.com/2023/05/this-cybercrime-syndicate-pre-infected.html
Millions of Android devices pre-infected with malware (19 May 2023)
-https://cybersafe.news/millions-of-android-devices-pre-infected-with-malware/
Data Stealing Malware Discovered in Popular Android Screen Recorder App
(24 May 2023)
-https://thehackernews.com/2023/05/data-stealing-malware-discovered-in.html
ESET: Android App 'iRecorder – Screen Recorder' Trojanized with AhRat
(23 May 2023)
-https://www.infosecurity-magazine.com/news/eset-android-app-trojanized-ahrat/
Google Unveils Bug Bounty Program For Android Apps (23 May 2023)
-https://www.infosecurity-magazine.com/news/google-unveils-bug-bounty-program/