Tags Posts tagged with "病毒"

病毒

by -
0 2922

趨勢科技建議採取「讀、不、達」三大措施 保護球迷「百毒不達」!

隨著世界盃足球賽賽程推進,FIFA相關惡意程式也大量湧出!根據趨勢科技最新統計,目前全球已出現超過375種行動惡意軟體App,正潛伏在未經授權/第三方應用程式下載商店,等待使用者安裝到行動設備上。趨勢科技呼籲球迷可採取「讀、不、達」三大防禦措施,讓自己「百毒不達」!FIFA相關威脅資訊,請見http://blog.trendmicro.com.tw/?cat=1583

趨勢科技資深技術顧問簡勝財表示:「除了最近充斥在網路上的網路釣魚詐騙和駭客主義者、癱瘓了兩個巴西政府網站(聖保羅軍警網站2014年世界盃官方巴西網站)外,網路犯罪分子也將目標瞄準行動裝置的使用者。趨勢科技陸續發現以世界盃為主題的行動惡意軟體App已經高達375種,經過分析發現大部分有問題的惡意App都是目前普及的行動惡意軟體家族變種,例如偽造熱門應用程式的 ANDROIDOS_OPFAKE.CTD家族、私下過濾簡訊和竊取資料的ANDROIDOS_SMSSTEALER.HBT家族、吃角子老虎詐騙程式ANDROIDOS_MASNU.HNT、和木馬程式ANDROIDOS_OPFAKE.HTG的變種等。」

簡勝財建議,FIFA球迷可採取「讀、不、達」三個自保步驟,避免遭受惡意程式侵害,讓自己「毒不達」:

  1. 讀:隨時利用趨勢科技整理的「FIFA相關威脅資訊」,來了解最新威脅資訊與防禦之道
  2. 不:只從有信譽的平台下載App,不從第三方平台下載程式,以降低風險
  3. 達:儘速安裝行動安全解決方案,如趨勢科技的「安全達人」免費App,利用趨勢科技26年的資安專業、保護自己不受惡意程式侵害!

偽造應用程式

趨勢科技偵測到其中一個惡意軟體家族是ANDROIDOS_OPFAKE.CTD家族,其最早出現在2013年5月,透過偽造熱門應用程式的形式出現。它的惡意行為包括:替使用者訂服務,外洩使用者的重要資料(如聯絡人清單/訊息),以及安裝惡意連結和捷徑在行動設備主畫面上。

在短短一年間,被偵測到的ANDROIDOS_OPFAKE.CTD變種數量達到10萬次,偽造了14,707種應用程式;並且該程式所連到的遠端伺服器有66個不同網域,每個網域都假裝成著名的網站,像是MtGox.com。

image

圖一、偽造的世界盃足球賽遊戲App圖像

image

圖二:假的世界盃遊戲應用程式,會主動替用戶訂閱加值服務、造成金錢損失

簡訊過濾和資料竊取程式

趨勢科技所偵測到的另一個利用世界盃熱潮的惡意軟體家族是ANDROIDOS_SMSSTEALER.HBT家族。這家族變種有著和OPFAKE相似的詐騙和偽造方式,不過有一點不同的是:它們可以連到遠端C&C伺服器接收並執行命令,其中一些會加入簡訊過濾程式(封鎖/隱藏某些傳入的訊息),發送簡訊和安裝新惡意軟體。

imageimage

圖三、更多偽造的世界盃遊戲應用程式

分析其C&C伺服器,發現有76個網域,它們都註冊給Tanasov Hennadiy。我們還發現這有問題的C&C伺服器也被用來代管第三方應用程式下載網站,其中大多數應用程式都用廣告和資料竊取程式加以重新打包。

服務濫用

趨勢科技還發現在之前部落格中所提過的木馬程式也加入成網路犯罪世界盃的一隊,現在是被偵測為ANDROIDOS_OPFAKE.HTG的新變種。這是一個典型的加服務濫用程式,受感染的使用者會發現自己要支付從未註冊過的昂貴服務費用。

吃角子老虎詐騙

最後,趨勢科技發現一被偵測為ANDROIDOS_MASNU.HNT的世界盃吃角子老虎惡意App。它的惡意行為包括:過濾使用者的付費確認訊息,讓使用者沒注意到玩此遊戲所花費的實際金額,因而毫無節制地花更多。

image

圖四、世界盃吃角子老虎惡意App

有些足球博弈應用程式,也被發現會在使用者不知情的狀況下,外洩使用者資訊、以及在小額付費過程中會出現風險。我們建議行動用戶使用這些應用程式時,要特別小心自己的財務和個人資料,或乾脆避免使用。

by -
0 2786

CM Security安全實驗室對台Android手機用戶發出警訊通知,提供最全面的安全防護方案

台北,2014514—— CM(Clean Master) Security安全實驗室今(14)日在台針對Android智慧型手機用戶發出病毒警訊通知,目前該病毒的擴散範圍超過80萬條短訊和近7.5萬筆聯絡人資訊。擴散速度從四月中旬的2-3天一次的新變種,從5月份開始更是每天出現新變種,甚至一天發佈數次更新,呼籲Android手機用戶提高警覺,並盡速下載CM Security防毒軟體以免遭駭。

根據CM Security安全實驗室回報,倘若用戶不慎點擊病毒簡訊所附連結,便會啟動Android病毒程式自動下載程序,待下載完成後,除將造成攻擊者透過手機小額付款機制漏洞詐取手機用戶財物外、同時將攔截所有未讀取簡訊,導致重要資訊遺失;此外,攻擊者更將自遠端取得該手機用戶連絡人資料,並對連絡人發出同樣的內容簡訊,進行病毒擴散。此一特性致使該病毒可於短時間內發送大量簡訊,目前台灣列入重災區。

使用者收到的簡訊內容包含以下內容或相似內容:「OOO先生,【宅急便】 您的快遞通知單,收件簽名電子憑證htttp://goo.gl/OOO(OOO為Goo.gl隨機短網址)」,病毒簡訊內容由病毒作者遠端控制,誘導性極強。病毒發送的部分簡訊可以啟動小額付款服務,將導致中毒用戶的財物損失。點擊簡訊中所附連結將啟動Android病毒程式(副檔名為.apk)下載程序,且該病毒程式不會在手機桌面產生任何圖示,因而難以察覺。

clip_image002

圖1. 偽裝成宅急便快遞通知和支付憑據的病毒簡訊

台灣電信商提供小額付款機制,用戶只需簡單回覆簡訊認証碼,即可進行網路購物,同時完成付款程序。駭客看準台灣小額付款機制的漏洞,任一用戶受騙下載安裝此病毒,駭客便會立刻使用此手機門號進行網路購物,並利用電信商小額進行付款,用戶收到帳單時才會發現此筆交易。根據中華電信839小額付費機制,其認證額度最高每月可達6,000元。詐騙的網路購物商品多半為線上遊戲點數卡或虛擬商品,也是最容易讓駭客轉手牟利的商品類型。

clip_image004

CM(Clean Master) Security安全實驗室今(14)日在台針對Android智慧型手機用戶發出病毒警訊通知,目前該病毒的擴散範圍超過80萬條短訊和近7.5萬筆聯絡人資訊。擴散速度從四月中旬的2-3天一次的新變種,從5月份開始更是每天出現新變種,甚至一天發佈數次更新,呼籲Android手機用戶提高警覺,並盡速下載CM Security防毒軟體以免遭駭。

由於這條簡訊偽裝成快遞公司員工號碼或好友號碼發出,對於警覺性不高的用戶極易中招。根據CM Security安全實驗室分析,此Andriod手機病毒具備以下特性:

1. 攔截所有未讀手機簡訊,並將簡訊內容上傳至位於俄羅斯的某台伺服器(IP地址:141.105.65.244,這台伺服器可能是駭客控制的殭屍電腦)。病毒每隔一分鐘便會取得位於俄羅斯的遠端伺服器所下指令,將宅急便簡訊病毒主動發送給中毒手機裡存放的連絡人。由於每分鐘會查詢一次網路,因此手機CPU處於定時喚醒的工作狀態,此過程中, 用戶可以明顯感受到手機溫度上昇, 這是因為病毒持續執行於手機背景模式下。

2. 頻繁發送簡訊,或透過小額付款機制,造成中毒手機用戶資費暴增,導致財物損失。

由Cheetah Mobile公司(紐交所上市公司,股票代碼:CMCM)所開發的CM Security防毒軟體已可完全清除該病毒,建議Android手機用戶應盡速自Google Play應用商店安裝CM Security以得到最佳防護。

據CM Security安全實驗室的觀察,Android手機病毒來源多來自於協力廠商市場並透過社交網絡散佈,使用者在手機的安全設置中,選擇「禁用未知來源安裝」可大大降低風險。

clip_image006

圖3. CM Security可清除宅急便短訊病毒

欲進一步了解CM Security,歡迎前往下列下載網址,或掃描QR Code亦可下載:https://play.google.com/store/apps/details?id=com.cleanmaster.security

clip_image007