2011年11月10日 星期四

【資安】手機病毒持續變種 短網址服務成犯罪溫床

0 意見


UTM解決方案與網路安全供應商 Fortinet 公佈在其最新月報中所發現的網路威脅概況。Fortinet的FortiGuard實驗室在10月持續觀察新的 Android 病毒 DroidKungFu 的最新發展,發現它目前已有多個變種病毒,行為也非常近似個人電腦上的惡意軟體。


Fortinet資深安全策略專家Derek Manky表示:「DroidKungFu顯然已象徵著手機病毒的新一代進展。先前的Android病毒,例如 Zitmo (Zeus in the Mobile),能夠攔截銀行傳送用來辨識持卡人身份的雙因素(two-factor)認證機制, DroidKungFu 能做的則是更多,它能將自己偽裝成一個合法的VPN客戶端程式,藉由社交工程技術很快地取得行動裝置的根目錄存取權限。一旦DroidKungFu開始執行,將能夠下載更多其它的惡意軟體,在瀏覽器中開啟URL,執行程式並刪除系統裡的檔案。」


短網址轉址服務,例如TinyURL,提供了一個便利的方法來縮短又長又不便的網址,當使用者點擊縮短後的網址之後,會立即被重新導向至原始的網址。由於短網址服務能減少原有網址冗長又無意義的字母數量,非常受網路使用者歡迎。它也常被應用在電子郵件,因為某些電子郵件程式可能會在傳送時破壞郵件中過長的連結。


然而Fortinet發現,短網址服務的優點,也正是其最大的弱點,因為這樣的服務剛好讓網路罪犯能隱匿其惡意連結,趁機感染使用者的系統。Fortinet一向建議使用者在點擊之前,先將滑鼠置於連結之上,看看該連結會不會被重新導向到可疑的網頁。不過這個方法卻不適用於短網址,目前沒有絕對安全的方法能事先判斷點擊短網址之後,是否會被重新導向至一個惡意的網站。


Manky進一步指出:「現今防垃圾郵件的先進技術,已能攔截許多短網址的惡意程式。然而,現在我們發現惡意軟體的設計者,已自行建立他們自己的短網址服務,來規避最新的防垃圾郵件技術。這又是網路罪犯提供犯罪服務(crime as a service,CaaS)的另一個例子。」


一個能判斷短網址是否會指向惡意網站的方法,是觀察連結最後的網址為何。近來多數惡意的短網址服務,都使用.info的網址。另一個方法則是複製有問題的連結,貼到網址過濾工具,例如Fortinet的URL Lookup。無論如何,適當的網頁過濾解決方案仍是必要的,藉由整個網域的解析與檢驗,有助於防範惡意的短網址轉址服務。


2011年11月1日 星期二

【資安】惡意程式新手法:下載時無毒 更新後再變病毒

0 意見

在今年內,隨著Android等智慧型手機平台大福擴張,過去認為不會造成太大影響的手機病毒攻擊,目前已經有越來越顯著的攻擊現象,而從過去單純偽裝、竊取權限的模式開始,目前也進展到自下載到安裝時都不會有所問題,反而是在軟體更新時,才會現出惡意程式真面貌。

文/楊又肇

在今年內,隨著Android等智慧型手機平台大福擴張,過去認為不會造成太大影響的手機病毒攻擊,目前已經有越來越顯著的攻擊現象,而從過去單純偽裝、竊取權限的模式開始,目前也進展到自下載到安裝時都不會有所問題,反而是在軟體更新時,才會現出惡意程式真面貌。

根據芬蘭防毒軟體F-Secure透露,官方在今年7月期間攔截到一組名為「Spyware:Android/SndApps」的Android間諜程式,這項惡意程式不像過去只是透過表面偽裝成一般App內容,使用者在下載安裝後甚至可以正常使用相關功能,而不會感到任何的異狀。但若是在首度更新App內容版本後,就會在取得用戶同意後搖身恢復為惡意程式面貌,進而竊取用戶手機資訊或進行相關攻擊。

會有這樣的攻擊模式發展,主要可能因為近期夾帶惡意程式的App報導增多,使用者後續在下載App安裝前多半會加以考量,但相對地在App後續更新卻較少有所防範,因此有不少惡意程式在後續的設計便會採取先讓使用者下載並正常使用,等進行第一次App更新後,便會透過這樣的心理防範差異讓使用者點按同意提供相關軟體權限,進而讓惡意程式取得手機控制權。

根據F-Secure後續追蹤,從一組名為「理財記賬本」的Android App中便可發現這樣的情況:透過更新之後,App將會要求包含使用簡訊、多媒體簡訊或手機位置等資訊使用權限,一旦使用者點按同意之後,此App便會進一步取得Root權限並在手機內安裝一組偽裝成init.db檔案的木馬程式APK內容,將會進一步紀錄使用者手機操作過程,同時進一步將資料外送到其他位置存放。而由於程式同取得Root權限,若是有心人士希望藉此破壞手機使用狀況,技術上也是可以做得到。


初次下載安裝時,看起來並沒有太大奇怪的權限要求

droidkungfu_update1droidkungfu_update2droidkungfu_update3

droidkungfu_update4droidkungfu_update5


下載安裝之後,立即會接收到更新的提示,選擇更新後,App便會要求提供包含簡訊、所在位置等資訊權限
選擇更新後,App便會要求提供包含簡訊、所在位置等資訊權限


針對目前此類的攻擊模式,F-Secure大中華區總監李力恆認為,目前在Android平台上雖然在安裝任何App時均會提示要求提供使用權限,但是在一些情況下,駭客們也會想辦法將這些權限要求合理化「包裝」,而一般使用者也並不見得能實際了解提供這些權限可能造成什麼影響,特必須格外堤防別人利用心理防範漏洞騙取信任,進而使個人隱私受損。

文章出處:惡意程式新手法:下載時無毒 更新後再變病毒
相關連結&照片出處:DroidKungFu Utilizes an Update Attack (F-Secure病毒實驗室官方部落格)