[ 安全通報 ] 27 四月, 2012 14:19

    本週最紅的 Android malware 應該是這支假冒成當紅軟體 Instagram 的 apk 吧,其實跟之前 Fake Google Play 的攻擊類似,都是發送付費簡訊。在這裡我們揭露幾個詳細的資訊供大家研究參考:

 1. APK Info:

  • File Name           : instagram.apk
  • File Size 881673
  • APK MD5           : 3d36d85f28526e2fc048df17440957a0
  • APK SHA1         : b62bbcbcaa9860751853f86072e98f91d28edd65
  • Package Name  : com.software.application
  • Permissions        
    • android.permission.WRITE_EXTERNAL_STORAGE
    • android.permission.INTERNET
    • android.permission.READ_PHONE_STATE
    • android.permission.READ_SMS
    • android.permission.SEND_SMS
    • android.permission.RECEIVE_SMS
    • com.software.application.permission.C2D_MESSAGE
    • com.google.android.c2dm.permission.RECEIVE
    • android.permission.WAKE_LOCK
2. 攻擊步驟:
    透過俄羅斯網站 (hxxp://instagram-android.ru/) 散佈,這是一個假的  Instagram 官網(如圖1)。
 
  • 下載安裝後會出現以下畫面(圖2)
 
 
  • 當程式啟動時會出現正在安裝 Instagram,其實只是跑個 progress bar 而已。 圖3為 country code 是 250 或 400 時出現的畫面。  
 

  • 圖4為 country code 非 250 或 400 時出現的畫面。
 

  • 圖5 為 country code 是 250 或 400 時安裝完畢的畫面。  
 
 
  • 圖6 為 country code 非 250 或 400 時安裝完畢的畫面。
 
  • 從以上的同意條款說明裡面,可以得知三個 URLs   
    1. hxxp://depositmobi.com: 此網站是一個fake market,從上下載下來的 apk 研判都是傳送付費簡訊的 app ,差別在於 icon 和 signature 不同,程式內容應該一樣。
    2. hxxp://www.sms911.ru:  客服網站 ?
    3. hxxp://zipwap.ru/: 內容供應商網站 ?

  • 當點選 open 開啟程式時,會開始傳送付費簡訊,並出現(圖7)畫面連結:
 
  • 之後程式運作的邏輯都和我們之前分析的「安全通報 2012-03-23: Google Market 更名為 Google Play 犯罪份子亦跟進」 很類似,但在規則上多了變化,例如 country code 為 250 時會多一個 30秒觸發的 receiver,此 receiver 觸發時也會傳送付費簡訊;另外 country code 為 400 時,則會隨機產生簡訊內容。整個程式傳送的規則如下圖8:
 
3. 來路不明的 app 千萬不要任意安裝 :-)
 
By AegisLab 
[ 安全通報 ] 27 四月, 2012 13:47

     在去年12月「安全通報 2011-12-02: SQL Injection 攻擊再度來襲!」和今年1月2日我們發佈「安全通報 2011-01-02: 超過200萬的網頁被SQL injection攻擊」,過了幾個月之後,ISC SANS 又發現另一個大量的 SQL injection 攻擊!(圖1)

    如同之前的「Lilupophilupop」SQL injection 一樣,還是針對ASP,IIS和MSSQL攻擊。目前得知已經有大量網站被入侵成功,而有些網站雖然沒有成功但是有入侵跡象。

例如 www.food888.com.tw(見圖2-4)。

  圖2: 入侵跡象

 

圖3: 入侵跡象 

 

圖4: 入侵跡象 

AegisLab 提醒您,可利用Googld Search 檢測自家的網站是否曾被入侵過,例如 site:MyWeb.com nikjju.com/r.php or site:MyWebc.om hgbyju.com/r.php, 即查詢 MyWeb.com 是否有入侵跡象。

 

[ 安全通報 ] 19 四月, 2012 17:01

    上禮拜 NetQin 提到一隻透過簡訊告知使用者的手機存在高危險漏洞,然後給一個網址讓使用者去下載更新用的 apk (病毒名稱為 UpdtBot),在這裡我們揭露幾個詳細的資訊供大家研究參考:

 1. APK Info:

  • APK Name         : 系统文件(如圖1)
  • APK MD5           : df7e0d7000d182356e58186316bd3076
  • APK SHA1         : 5001430eb844d31a61990c2a9643101385a88b2b
  • Dex MD5            : d6ea9d3706cd19cb9a316a4db53163ff
  • Dex SHA1          : 59de4ef54f118b91701ebb1b12b4f778f229f66c
  • Package Name  : cn.smstelphoneapp
  • Permissions        
    • android.permission.INSTALL_PACKAGES
    • android.permission.INTERNET
    • android.permission.RECEIVE_SMS
    • android.permission.SEND_SMS
    • android.permission.CALL_PHONE
    • android.permission.READ_PHONE_STATE
    • android.permission.ACCESS_NETWORK_STATE
    • android.permission.READ_CONTACTS
    • android.permission.WRITE_CONTACTS

 圖1: 要求許多 permissions

 

2. 惡意網址:

  • hxxp://www.android-upgrade.net/D.aspx?t=2     (APK下載網址, 請注意這網址還活著!)
  • hxxp://www.nokia-upgrade.com/Admin/Interface/AndroidCounter.ashx   ( 跟 C&C Server 註冊時用的網址)
  • hxxp://www.nokia-upgrade.com/Admin/Interface/GetAndroidCall.ashx?imei=%s&name=%s&pwd=%s  (跟 C&C Server 取得要撥打的電話號碼)
  • hxxp://www.nokia-upgrade.com/Admin/Interface/GetAndroidSms.ashx?imei=%s&name=%s&pwd=%s  (跟 C&C Server 取得要傳訊簡訊的號碼)
  • hxxp://www.nokia-upgrade.com/Admin/Interface/GetAndroidSoft.ashx?imei=%s&name=%s&pwd=%s ( 跟C&C 取得要安裝的軟體)
3. 攻擊步驟:
    透過簡訊告知使用者的手機存在高危險漏洞,然後給一個網址讓使用者去下載更新。 當使用者安裝完這支 apk 後,會跟使用者說已經完成更新並重開手機(圖 2)。其實重不重開對這支惡意的apk來說都沒關係,因為當它跑起來之後就已經註冊了一個 service 跟一個 receiver了,receiver 當然就是接收到 BOOT_COMPLETED 時,會重新再把 service 註冊回去,而 service 則是這支 apk 最主要的地方,而且此 apk 還將此 service 用排程的方法,每五分鐘會跟 C&C server溝通一次,其主要流程大概如下:
  • 取得sms list: 把imei、name及pwd傳到C&C server,然後C&C server會傳回JSON格式的sms list列表。
  • 取得call list: 把imei、name及pwd傳到C&C server,然後C&C server會傳回JSON格式的call list列表。
  • 取得software list: 把imei、name及pwd傳到C&C server,然後C&C server會傳回JSON格式的software list列表。
 
圖2: 安裝成功,請求重新啟動.
 
 

圖3: 程式執行中. 

 

4. 還是老話一句,不要下載安裝來路不明的 apk :-)

 

By AegisLab 

[ 安全通報 ] 19 四月, 2012 14:13

    AegisLab 昨日發現有假的 NQ Mobile 防毒軟體上架,但隨後沒多久就被下架了,只有幾百次下載。經過分析只是有人利用 AppsGeyser 隨意亂包一個 APK 就上傳到 Google Play,程式本身無惡意行為,但這也暴露出 Google Play 的審核機制不夠嚴謹,容易成為犯罪者的天堂。

說明: 黃色部分就是假的 NQ Mobile Security.

 

By AegisLab 

 

[ 安全通報 ] 16 四月, 2012 14:31

    AegisLab 的 URL Filter Team 發現一個網站,站名很像Youtube,但實際是 Youtude。這網站利用填問卷送 Apple 產品(例如 iPhone, iPad等等) 伎倆騙取姓名和 e-mail,接下來應該就是把資料賣出牟利,請大家不要隨意填來不不明的問卷,因為這個網站在 Alexa 排名 877,762 算是非常前面,可見很多人都曾經連上這網站。

圖1: 連上 www.youtude.com 之後被轉到以下網站

 

圖2: 問卷填完會出現以下訊息.  

 

 

By AegisLab