威胁

218 文章

CryptoLocker安卓版?

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗?现在,勒索软件出现一种全新变体将安卓用户锁定为目标(起码会让人联想到CryptoLocker)。众所周知,CryptoLocker是对用户的关键计算机文件进行加密,然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额,还有以安卓设备为目标的恶意程序样本的广泛传播,出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机,并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下,恶意软件只是让计算机无法使用。但另一些恶意软件,比如CryptoLocker,是加密被感染计算机上的重要文件,然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实,对自己的意图直言不讳;但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容,必须缴纳罚款才能解锁计算机。 对于这种情况,其实是负责不同种类勒索软件的一组犯罪分子(称为Reveton)发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker(以台式机为目标)有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件,并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现,安卓设备用户连到感染了此恶意软件的域后,即会被重定向到色情站点,该站点中部署了一些社交工程,目的是骗用户进入包含此恶意软件的应用文件。 但好消息是:除非用户实际上亲自安装了此恶意软件,否则不会被感染,这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效,”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作,但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”,都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用,用户需要下载才会被感染。如果用户启动此应用,随即会显示一个警告屏幕,通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户,须通过MoneyPak支付300美元的罚款,否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体,受害用户遍及30多个国家,包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚,但不管制作者是谁,显然是在玩CryptoLocker的旧把戏,这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣,因为从中可以看出网络犯罪分子是如何花样百出,利用合法的商业做法来获取最大利润的,当然这得改天再谈了。

OpenID和OAuth易受攻击,需保持警惕

在发现恼人的Heartbleed bug短短数周之后,像你我这样的普通网民可能需要关心一下另一个看似普遍的问题,这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义,并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的;前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用,后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用,但事实证明,这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释,并顺带提供一个原始研究链接,但我们会省略不必要的细节,只说明可能发生的攻击场景和后果。首先,用户访问一个恶意钓鱼网站,其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮,则会出现一个逼真的Facebook/G+/LI弹出窗口,提示用户输入自己的登录名和密码信息以授权上述(并且可能有声誉的)服务来访问他们的用户配置文件。最后,使用不当的重定向方式,将使用该配置文件的授权被发送到不正当(钓鱼)网站。 首先,用户访问钓鱼网站,并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候,网络罪犯收到一个适当的授权(OAuth token),利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下,只是访问基本的用户详细信息;最坏的情况下,可读取联系人、发送消息等内容。 这一bug已被修复?事实并非如此 这个威胁不会很快消失,因为修复必须在提供商端(如Facebook/LinkedIn/谷歌)和客户端(第三方应用程序或服务)同时执行。OAuth协议仍处于测试阶段,各个供应商使用不同的手段措施,并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置,因采取了更为严格的处理措施:即要求第三方开发人员提供适当重定向的”白名单”。到目前为止,每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同,因为其所拥有大量第三方应用程序,并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶,”无法在短期内修复的原因”。 此外,还存在众多似乎易受攻击的其他供应商(查看以下图片),因此如果您使用这些服务登录某些网站,则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说,最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性,但使用社交网络账户登陆将导致您线上行为被更有效地追踪,并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码,您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步,以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说,最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而,如果你打算继续使用OpenID授权,并不会发生什么直接的危险。你只需要保持高度警惕,避免任何网络钓鱼诈骗,它们的通常手法是首先向您的邮箱发送骚扰邮件,或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务,应确保您使用手动输入的地址或书签打开此服务的网站,而不是点击您的邮件或者消息中的链接。仔细检查地址栏,避免访问粗制滥造的假网站,且不使用OpenID注册新服务,除非您100%肯定相应服务信誉良好且登录的是正确网站。此外,请在您所有设备上使用安全浏览解决方案,如卡巴斯基安全软件多设备版,以防止浏览器访问危险站点,包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习,每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大,它会导致各类数字财产损失,包括:信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

针对安卓系统的网银恶意软件迅速蔓延

金融诈骗仍是恶意软件感染计算机后可能会执行的最危险的一类活动。所谓的“网银木马“能够注入到用户与网银之间的通信,借此操纵用户资金,并使用户付款重定向到犯罪分子的银行帐户。为了应对这一威胁,大多数银行利用了一种叫”双重认证“的方法,此认证通常借助SMS来完成:用户试图在线转帐时,必须使用密码来核准交易,此外还有一个一次性密码(移动交易验证码)会以文本消息形式发送到用户的智能手机。而犯罪分子开发出了一种方案,能够感染用户的计算机和智能手机,同时窃取密码和交易验证码。这种方案最初由Zeus/ZitMo恶意软件duo引入,事实证明实施起来非常有效。最近针对安卓系统的恶意软件Faketoken运用了同样的概念。很不幸,此软件也能成功造成感染。在卡巴斯基实验室最近发布的《2014年一季度IT威胁发展状况》报告中指出,Faketoken在20大移动设备威胁排名(按流行程度)中位列13,占到所有感染事件的4.5%。 Faketoken的感染机制实际上非常令人感兴趣。犯罪分子利用社交工程来感染智能手机。在网银会话中,基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中,在此网页中可下载据称是执行安全交易所必需的安卓应用,但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机,犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户,Faketoken支持木马收集交易验证码,并将受害者的资金转入自己的帐户。 Faketoken网银恶意软件攻击的手机遍及55个国家,包括德国、英国和美国。#卡巴斯基#报告 根据报告,大多数手机银行威胁都是在俄罗斯设计并最初应用的。在此之后,网络犯罪分子可能会在其他国家进行传播。Faketoken就是这样的一种程序。在2014年第一季度,卡巴斯基实验室检测到的攻击中涉及此威胁的就有55个国家,包括德国、瑞典、法国、意大利、英国和美国。要避免此危险,用户必须利用卡巴斯基安全软件多设备版进行保护,也就是说电脑和安卓智能手机上都要使用专用安全解决方案。

警告:小心预装恶意软件!

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。 如节目中所揭露的,预装的恶意软件名为DataService: 在有关于此的另一则新闻中,我们发现了此恶意软件的md5: 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息: 另外还有一些URL引人注意: 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务: 运行用于访存和显示被推送广告的服务: 下载被推送的应用: 它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息: 然后将这些信息发送到服务器: 使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表: http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店: 我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。 现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。 通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。 此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。

清除流氓工具栏

你或许碰到过以下情况。一天,你打开互联网浏览器时发现,网页没有转向你常用的主页,而是转向了从未听说过的搜索引擎的登录页面。接着你注意到,工具栏中的内置搜索框不见了,也被取代为刚才打开的登录页面中的搜索框。更糟糕的是,在浏览器和系统上执行过所有典型的卸载过程后,重新启动浏览器时发现……打开的还是这个登录页面。 这就是BitGuard,此名称通用于包含MixiDJ、Delta Search、SearchQU、Iminent and Rubar等搜索工具栏的一系列程序。BitGuard是一种复杂的恶意软件,往往绑定到免费下载软件中,旨在通过劫持您的系统为第三方创造收入。 BitGuard是一种复杂的恶意软件,往往绑定到免费下载软件中,旨在通过劫持您的系统为第三方创造收入。 根据SecureList的报告,其工作原理如下。用户尝试下载某类程序(例如音乐、软件或视频文件),重要的是从提示使用的关联程序下载相关驱动程序和安装程序。下载安装程序时,也会同时下载工具栏,有时需要得到用户许可,有时不需要,这取决于具体的程序。 此时,用户已被纳入工具栏和新主页中的新程序搜索功能中,之后就会重定向到该搜索引擎的结果页面。下面将解释它是如何赚钱的-广告商向这些主机支付费用,要求将广告内容推送到结果字段的最前面,也就是大多数用户会首先点击的位置。用户通过点击指向广告商页面的相关链接时,搜索工具栏的所有者即可获取报酬。 Google报告说,从去年开始已经在有步骤地控制此类程序,但目前为止依然是一个问题。遇到这些程序的用户应该首先尝试从系统中卸载程序。在一台个人电脑上,请点击”开始”,转至”控制面板”,然后点击”卸载程序”,接着滚动浏览到相应程序,卸载掉不需要的加载件。这可能并不能解决此问题,因此还要从浏览器中卸载这些程序。在Firefox火狐浏览器中,请点击左上方任一主下拉选项卡,或者如果显示有菜单栏,请点击”工具”,无论哪种情况,接着请点击”附加组件”,然后删除不需要的程序。其他网络浏览器的卸载步骤与此类似。 但遗憾的是,对于某些工具栏,这些措施可能都不会起作用,这种情况下,你不得不使用Google搜索(啊,多么讽刺!)来查找特定于工具栏的删除说明。知道导致您额外安装软件的站点才能删除这个不需要的软件(太讽刺了!)。虽然许多”删除并优化”程序看起来是最简单的一键式解决方法,但其中许多程序本身就是间谍软件或恶意软件。 这些不需要的附加组件可以通过漏洞入侵,因为用户往往会给予它们安装权限,而并不了解这些组件,就仓促完成了下载进程,事后才会发现这些组件的行为会损害系统。在这种情况下,安装一款强大可靠的反病毒程序是多么重要,它能警告你即将安装的任何危险插件。值得注意的是,许多免费的反病毒软件也会安装搜索工具栏,因此这种情况下我们建议您使用付费产品。

误植域名:拼写错误触发的恶意软件感染

在一些案例中,某些网站会被盗用而作为传播恶意软件的主机。就我们所知,用来误导用户转至恶意站点的方法可谓花样百出,其中一种就是”误植域名”。 对我们来说,在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站,而不是用户实际想访问的站点。这被称为”误植域名”(typosquatting)- 这个英文单词由”typo(错误拼写)和”squat(蓄意)”两部分组成,也称为”网址劫持”(URL hijacking)。网络犯罪分子会注册与流行域名类似的域名,然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事,甚至导致域名被网址蟑螂(typosquatter)滥用的公司之间引发官司。 当然,误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时,会发现浏览的是垃圾网站,甚至更糟糕的是,有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例:Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站,我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”(管理联系人)字段中,您会看到字符串”A***3JP”。这是由日本域名注册服务公司(JPRS)管理的JPNIC句柄,也是找出该站点管理员的关键。(换句话说,就是在此字段中注册的电子邮件地址。) 我们检查了负责管理”A***3JP”域的管理员: 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查,我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址(xxx@gmail.com),但实际上并不是,因为它缺了一个字母。 对于某些国家,正确的域信息注册是一项法律规定。但在日本,有时注册的信息并不正确,而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确,则我们就无法向网站管理员发出警告,对方也不会意识到自己已成为受害者。 但在这种情况下,注册类似Gmail域名的意图显而易见:这是利用误植域名生成的一个陷阱,目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示,包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项,具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语: 俄语: 在本文中,我解释了正常注册域名信息的重要性以及误植域名的工作原理,并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物:它是误导用户的一种经典方法,已经存在好几个年头了。但全球范围内的受害者人数仍不断上升,原因是这种方法本身具有被动性质,即等着用户拼写错误而自动送上门,因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者,请定期更新操作系统和安全软件。

  • Onuma

本周数字:一千万个恶意安卓应用软件

截至一月底,卡巴斯基实验室已收集到约二十万个移动恶意应用软件的样本。这一数字较之2013年11月已呈34%增长。两个月前我们仅收集到十四万八千个样本。然而,比起我们研究发现的恶意安卓应用软件的数字简直是小巫见大巫。一月份其数字已达一千万。 当然,那些略知点谷歌官方数据的安卓忠实粉丝们会质疑这一数字。Google Play市场提供大约110万个应用软件,怎么可能找到的恶意软件多出十倍有余呢?答案很简单。 真相是这样的。在非官方应用商店里上架的超过一百万个应用程序里,恶意软件存在的可能性很大。 事实上,还有很多非官方的应用商店。他们提供的应用总量远超过一百万,而且其中很多安卓软件很有可能是恶意软件。所以,如果你是通过Google Play下载, 遇到恶意软件的几率是比较小的。但如果是其他商店就不好说了,或许您马上就中招。要知道很多人都热衷于下载免费或破解的应用,而黑客们经常就把恶意软件命名为一些比较受欢迎的游戏、银行应用软件和工具等等。结果就是用户的隐私、银行信息和资金等直接落入罪犯之手。下面是一很好的实例:2012年发现的源于俄国的Carberp木马病毒被植入移动软件成功盗走了用户的资金。坏消息是目前网上有上千万的恶意应用软件! 移动应用市场还在不断发展,集资数额也比个人电脑时代来的多。但同时,保护智能手机和平板电脑的移动杀毒软件却很少。移动用户也因此往往成为黑客们的盘中餐,加上数千万恶意应用软件帮他们的忙,真是令人担忧啊! 别慌!想要安全也不是难事。看看专家给我们的建议吧: -不用启用设备上的”开发者模式” -不要勾选”从第三方来源安装应用程序” -仅从官方渠道安装应用 -安装新应用软件时,请注意了解应用所要求的权限。 -运用安全保护的软件 当然啦,还有,常来我们的博客了解最新的安全资讯。